Los investigadores de seguridad cibernética están levantando la tapa de la explotación de los actores de amenaza defectuosa de seguridad que actualmente están parcheados en Microsoft Windows e implementando malware de plomería en ataques de ransomware RansomExx.
Los ataques incluyen la explotación de CVE-2025-29824, una vulnerabilidad de escalada de privilegios que afecta el Sistema de Archivos Común (CLF) de Windows, que Microsoft trató en abril de 2025.
Pipemagic se documentó por primera vez en 2022 como parte de un ataque de ransomware RansomExx dirigido a compañías industriales en el sudeste asiático.
Se han encontrado estos ataques que los actores de amenaza explotarán CVE-2017-0144, una falla de ejecución de código remoto de Windows SMB, para infiltrarse en la infraestructura de la víctima. Se ha descubierto que la posterior cadena de infección observada en Arabia Saudita en octubre de 2024 está aprovechando la aplicación falsa de Chatgpt de Operai como cebo para proporcionar malware.
A principios de abril, Microsoft fue atribuible a la explotación de CVE-2025-29824 y el despliegue de fontanería a los actores de amenaza que lo rastrean como Storm-2460.
«Una de las características únicas de Pipemagic es \\. \ Pipe \ 1.
Pipemagic es malware modular basado en complementos que utiliza dominios alojados por proveedores de Microsoft Azure Cloud para organizar componentes adicionales, con el ataque 2025 dirigido a Arabia Saudita y Brasil, confiando en el archivo de índice de ayuda de Microsoft («Metafile.mshi»). El cargador desempaqueta el código C# que descifra y ejecuta el código de sellado incrustado.
«El código de sellado inyectado es un código ejecutable para un sistema de Windows de 32 bits», dijeron los investigadores. «Carga un ejecutable sin cifrar que no está incrustado en el código de shell».
Kaspersky también descubrió que en octubre de 2025, reveló que un artefacto de cargador de pipemagic se plantea como un cliente de ChatGPT similar al visto anteriormente. Se ha observado que la muestra utiliza técnicas de secuestro de DLL para ejecutar DLL maliciosas que imitan el archivo de actualización de Google Chrome («GoogleUpdate.dll»).
Independientemente del método de carga utilizado, todo conduce al despliegue de puestos de traseros mágicos que admiten varios módulos –
Salir complemento del módulo de comunicaciones asíncronas que admite 5 comandos, leer/escribir archivos, finalizar las operaciones de archivos o salir de los módulos de carga de operación de archivo e insertar cargas útiles adicionales en la memoria, ejecutar el módulo inyector y iniciar C# ejecutable
«La repetida detección de Pipemagic en ataques contra organizaciones sauditas y su aparición en Brasil muestra que el malware permanece activo y los atacantes continúan desarrollando su funcionalidad», dijeron los investigadores.
«La versión detectada en 2025 muestra mejoras en la versión 2024 destinada a durar en el sistema de víctimas y moverse lateralmente dentro de la red interna. En el ataque 2025, el atacante usó la herramienta Procdump, que se cambió a dllhost.exe, para extraer memoria del proceso LSASS».
Source link
