Hackers KongTuke agora usam Microsoft Teams para invasões corporativas

O broker de acesso inicial KongTuke está alternando entre cinco tenants do Microsoft 365 para se passar por funcionários de TI em chats externos do Teams e enganar funcionários para executar PowerShell que baixa um ZIP do Dropbox e lança uma versão evoluída do ModeloRAT com um pool de cinco servidores C2, reverse shell e fallbacks de backdoor TCP, além de uma tarefa agendada em nível SYSTEM que sobrevive à rotina de autodestruição do próprio implante.