Según Arctic Wolf, se sospecha que los atacantes explotan una falla de seguridad de máxima gravedad que afecta al dispositivo de administración de sistemas (SMA) Quest KACE.
La firma de ciberseguridad dijo que observó actividad maliciosa en los entornos de los clientes a partir de la semana del 9 de marzo de 2026, consistente con la explotación de CVE-2025-32975 en sistemas SMA sin parches expuestos a Internet. Por el momento se desconoce el objetivo final del ataque.
CVE-2025-32975 (puntaje CVSS: 10.0) hace referencia a una vulnerabilidad de omisión de autenticación que permite a un atacante hacerse pasar por un usuario legítimo sin credenciales válidas. La explotación exitosa de esta falla podría facilitar la toma completa de cuentas administrativas. Quest solucionó este problema en mayo de 2025.
En la actividad maliciosa detectada por Arctic Wolf, se cree que un actor de amenazas utilizó esta vulnerabilidad para tomar el control de una cuenta de administrador y ejecutar comandos remotos para eliminar una carga útil codificada en Base64 mediante un comando curl desde un servidor externo (216.126.225(.)156).
Luego, el atacante desconocido procedió a crear cuentas administrativas adicionales a través de ‘runkbot.exe’, un proceso en segundo plano asociado con el agente SMA utilizado para ejecutar scripts y administrar instalaciones. También detectamos cambios en el registro de Windows a través de scripts de PowerShell para posibles cambios de persistencia o configuración del sistema.
Otras acciones tomadas por actores de amenazas se enumeran a continuación.
Realizar recolección de credenciales usando Mimikatz. Realiza descubrimiento y reconocimiento enumerando los usuarios registrados y las cuentas de administrador y ejecutando los comandos «net time» y «net group». Obtenga acceso del Protocolo de escritorio remoto (RDP) a su infraestructura de respaldo (Veeam, Veritas) y controladores de dominio.
Para combatir esta amenaza, recomendamos que los administradores apliquen las últimas actualizaciones y no expongan sus instancias de SMA a Internet. Este problema se resolvió en las versiones 13.0.385, 13.1.81, 13.2.183, 14.0.341 (parche 5) y 14.1.101 (parche 4).
Source link
