Según los investigadores, dos vulnerabilidades de Windows, una de día cero que los atacantes conocen desde 2017 y la otra una falla crítica que Microsoft intentó inicialmente y no logró parchear recientemente, están bajo explotación activa en ataques generalizados dirigidos a una franja de Internet.
El día cero no fue descubierto hasta Marzocuando la empresa de seguridad Trend Micro dijo que había estado bajo explotación activa desde 2017, por hasta 11 amenazas persistentes avanzadas (APT) distintas. Estos grupos APT, a menudo con vínculos con Estados-nación, atacan implacablemente a individuos o grupos de interés específicos. Trend Micro continuó diciendo que los grupos estaban explotando la vulnerabilidad, luego rastreada como ZDI-CAN-25373, para instalar varias cargas útiles conocidas después de la explotación en infraestructura ubicada en casi 60 países, siendo los EE. UU., Canadá, Rusia y Corea los más comunes.
Una operación coordinada a gran escala
Siete meses después, Microsoft aún no ha solucionado la vulnerabilidad, que se debe a un error en el Acceso directo de Windows formato binario. El componente de Windows hace que abrir aplicaciones o acceder a archivos sea más fácil y rápido al permitir que un único archivo binario los invoque sin tener que navegar hasta sus ubicaciones. En los últimos meses, la designación de seguimiento ZDI-CAN-25373 se cambió a CVE-2025-9491.
El jueves, la empresa de seguridad Arctic Wolf reportado que observó un grupo de amenazas alineado con China, rastreado como UNC-6384, explotando CVE-2025-9491 en ataques contra varias naciones europeas. La carga útil final es un troyano de acceso remoto ampliamente utilizado conocido como PlugX. Para ocultar mejor el malware, el exploit mantiene el archivo binario cifrado en formato RC4 hasta el paso final del ataque.
«La amplitud de los ataques en múltiples naciones europeas dentro de un período de tiempo condensado sugiere una operación coordinada de recopilación de inteligencia a gran escala o el despliegue de múltiples equipos operativos paralelos con herramientas compartidas pero ataques independientes», dijo Arctic Wolf. «La coherencia en el oficio entre objetivos dispares indica un desarrollo de herramientas centralizado y estándares de seguridad operativa, incluso si la ejecución se distribuye entre varios equipos».
