Adobe ha lanzado actualizaciones de emergencia para corregir una falla de seguridad crítica en Acrobat Reader que ha sido explotada activamente en la naturaleza.

La vulnerabilidad, asignada al identificador CVE. CVE-2026-34621tiene una puntuación CVSS de 8,6 sobre 10,0. La explotación exitosa de la falla podría permitir a un atacante ejecutar código malicioso en las instalaciones afectadas.

Ha sido descrito como un caso de prototipo de contaminación eso podría resultar en la ejecución de código arbitrario. La contaminación prototipo se refiere a una Vulnerabilidad de seguridad de JavaScript que permite a un atacante manipular los objetos y propiedades de una aplicación.

El problema afecta a los siguientes productos y versiones tanto para Windows como para macOS:

• Versiones de Acrobat DC 26.001.21367 y anteriores (corregido en 26.001.21411)
• Acrobat Reader DC versiones 26.001.21367 y anteriores (corregido en 26.001.21411)
• Acrobat 2024 versiones 24.001.30356 y anteriores (corregido en 24.001.30362 para Windows y 24.001.30360 para macOS)

Adobe reconoció que está «al tanto de que CVE-2026-34621 está siendo explotado en la naturaleza».

El desarrollo se produce días después de que el investigador de seguridad y fundador de EXPMON, Haifei Li, revelara detalles de la explotación de día cero de la falla para ejecutar código JavaScript malicioso al abrir documentos PDF especialmente diseñados a través de Adobe Reader. Hay evidencia que sugiere que la vulnerabilidad puede haber estado bajo explotación desde diciembre de 2025.

«Parece que Adobe ha determinado que el error puede provocar la ejecución de código arbitrario, no sólo una fuga de información», EXPMON dicho en una publicación en X. «Esto se alinea con nuestros hallazgos y los de otros investigadores de seguridad en los últimos días».

(La historia se actualizó después de la publicación para reflejar el cambio en la puntuación CVSS de 9,6 a 8,6. En una revisión de su aviso del 12 de abril de 2026, Adobe dijo que ajustó el vector de ataque de Red (AV:N) a Local (AV:L).)

Actores de amenazas desconocidos comprometieron la CPUID («cpuid[.]com»), un sitio web que aloja herramientas populares de monitoreo de hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, durante menos de 24 horas para servir ejecutables maliciosos para el software e implementar un troyano de acceso remoto llamado STX RAT.

El incidente duró aproximadamente desde el 9 de abril a las 15:00 UTC hasta aproximadamente el 10 de abril a las 10:00 UTC, y las URL de descarga de los instaladores de CPU-Z y HWMonitor fueron reemplazadas por enlaces a sitios web maliciosos.

en un correo compartido en X, CPUID confirmó la infracción, atribuyéndola a un compromiso de una «característica secundaria (básicamente una API secundaria)» que provocó que el sitio principal mostrara aleatoriamente enlaces maliciosos. Vale la pena señalar que el ataque no afectó a sus archivos originales firmados.

De acuerdo a Kasperskylos nombres de los sitios web fraudulentos son los siguientes:

• cahayailmukreatif.web[.]identificación
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]desarrollador
• transitopalermo[.]com
• vatrobrano[.]hora

«El software troyanizado se distribuyó como archivos ZIP y como instaladores independientes para los productos antes mencionados», afirmó la empresa rusa de ciberseguridad. «Estos archivos contienen un ejecutable legítimo firmado para el producto correspondiente y una DLL maliciosa, que se denomina ‘CRYPTBASE.dll’ para aprovechar la técnica de carga lateral de DLL».

La DLL maliciosa, por su parte, se pone en contacto con un servidor externo y ejecuta cargas útiles adicionales, no sin antes realizar comprobaciones anti-sandbox para evitar la detección. El objetivo final de la campaña es desplegar RATA STXuna RAT con HVNC y amplias capacidades de robo de información.

STX RAT «expone un amplio conjunto de comandos para control remoto, ejecución de carga útil de seguimiento y acciones posteriores a la explotación (por ejemplo, ejecución en memoria de EXE/DLL/PowerShell/shellcode, proxy inverso/tunelización, interacción de escritorio)», dijo eSentire en un análisis del malware la semana pasada.

La dirección del servidor de comando y control (C2) y la configuración de conexión se han reutilizado desde un campaña anterior que aprovechó el troyanizado Instaladores de FileZilla alojados en sitios falsos para implementar el mismo malware RAT. La actividad fue documentada por Malwarebytes a principios del mes pasado.

Kaspersky dijo que ha identificado a más de 150 víctimas, en su mayoría personas afectadas por el incidente. Sin embargo, las organizaciones de comercio minorista, manufactura, consultoría, telecomunicaciones y agricultura también se han visto afectadas. La mayoría de los contagios se localizan en Brasil, Rusia y China.

«El error más grave que cometieron los atacantes fue reutilizar la misma cadena de infección que involucra STX RAT y los mismos nombres de dominio para la comunicación C2 del ataque anterior relacionado con instaladores falsos de FileZilla», dijo Kaspersky. «Las capacidades generales de desarrollo/implementación de malware y seguridad operativa del actor de amenazas detrás de este ataque son bastante bajas, lo que, a su vez, hizo posible detectar el ataque tan pronto como comenzó».