Mandiant Threat Defense de Google anunció el lunes que descubrió un exploit de n días de una falla de seguridad ahora parcheada en la plataforma de acceso remoto y uso compartido de archivos Triofox de Gladinet.
Esta vulnerabilidad crítica, registrada como CVE-2025-12480 (puntaje CVSS: 9.1), permite a un atacante eludir la autenticación y acceder a la página de configuración, lo que podría resultar en la carga y ejecución de cargas útiles arbitrarias.
El gigante tecnológico dijo que observó un grupo de amenazas rastreado como UNC6485 que utilizaba la falla como arma ya el 24 de agosto de 2025, casi un mes después de que Gladinet lanzara un parche para la falla en la versión 16.7.10368.56560. Vale la pena señalar que CVE-2025-12480 es la tercera falla en Triofox que se explota activamente solo este año, después de CVE-2025-30406 y CVE-2025-11371.
Según las notas de la versión del software, «Se agregó protección de la página de inicialización». «Después de configurar Triofox, ya no podrá acceder a estas páginas».
Mandiant dijo que el atacante utilizó una vulnerabilidad de acceso no autenticado para acceder a la página de configuración y ejecutar el proceso de configuración para crear una nueva cuenta de administrador nativo, Cluster Admin. Luego, la cuenta recién creada se utilizó para realizar actividades posteriores.
«Para ejecutar el código, el atacante inició sesión utilizando una cuenta de administrador recién creada. El atacante cargó un archivo malicioso y utilizó la funcionalidad antivirus incorporada para ejecutar el archivo», dijeron los investigadores de seguridad Stallone D’Souza, Pravees DSouza, Bill Glynn, Kevin O’Flynn y Yash Gupta.
«Para configurar la funcionalidad antivirus, los usuarios pueden especificar cualquier ruta para el antivirus de su elección. El archivo configurado como ubicación del escáner antivirus hereda los permisos de la cuenta del proceso principal de Triofox y se ejecuta en el contexto de la cuenta SISTEMA».
Según Mandiant, el atacante ejecutó un script por lotes malicioso (‘centre_report.bat’) configurando la ruta del motor antivirus para que apuntara al script. Este script está diseñado para descargar el instalador de Zoho Unified Endpoint Management System (UEMS) desde 84.200.80(.)252 y usarlo para implementar programas de acceso remoto como Zoho Assist y AnyDesk en el host.
El acceso remoto proporcionado por Zoho Assist se utilizó para realizar un reconocimiento y posteriormente cambiar las contraseñas de las cuentas existentes e intentar agregarlas al administrador local y a los grupos de «Administradores de dominio» para escalar privilegios.
Como forma de evadir la detección, los atacantes descargaron herramientas como Plink y PuTTY y configuraron un túnel cifrado a través del puerto 433 a través de SSH hacia un servidor de comando y control (C2), con el objetivo final de permitir el tráfico RDP entrante.
Aunque aún se desconoce el propósito final de la campaña, se recomienda a los usuarios de Triofox que actualicen a la última versión, auditen sus cuentas de administrador y se aseguren de que el motor antivirus de Triofox no esté configurado para ejecutar scripts o archivos binarios no autorizados.
Source link
