Una vulnerabilidad de seguridad crítica que afecta MostrarDocun servicio de colaboración y gestión de documentos popular en China, ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad en cuestión es CVE-2025-0520 (también conocido como CNVD-2020-26585), que tiene una puntuación CVSS de 9,4 sobre 10,0.

Se relaciona con un caso de carga de archivos sin restricciones que surge de una validación inadecuada de la extensión del archivo, lo que permite a un atacante cargar archivos PHP arbitrarios y lograr la ejecución remota de código.

«[In] Versión de ShowDoc anterior a 2.8.7, se encuentra un problema de carga de archivos sin restricciones y sin autenticación y [an] El atacante puede cargar un shell web y ejecutar código arbitrario en el servidor», según un aviso. liberado por Vulhub.

La vulnerabilidad fue abordada en ShowDoc versión 2.8.7que se envió en octubre de 2020. La versión actual del software es 3.8.1.

De acuerdo a nuevos detalles compartido por Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, CVE-2025-0520 ha sido objeto de explotación activa por primera vez.

El exploit observado implica aprovechar la falla para colocar un shell web en un honeypot con sede en EE. UU. que ejecuta una versión vulnerable de ShowDoc. Los datos compartidos por la empresa muestran que hay más de 2.000 instancias de ShowDoc en línea, la mayoría de las cuales están ubicadas en China.

El desarrollo es el último ejemplo de cómo los actores de amenazas están explotando cada vez más las vulnerabilidades de seguridad del día N, independientemente de su base de instalación. Se recomienda a los usuarios que ejecutan ShowDoc que actualicen a la última versión para una protección óptima.

Adobe ha lanzado actualizaciones de emergencia para corregir una falla de seguridad crítica en Acrobat Reader que ha sido explotada activamente en la naturaleza.

La vulnerabilidad, asignada al identificador CVE. CVE-2026-34621tiene una puntuación CVSS de 8,6 sobre 10,0. La explotación exitosa de la falla podría permitir a un atacante ejecutar código malicioso en las instalaciones afectadas.

Ha sido descrito como un caso de prototipo de contaminación eso podría resultar en la ejecución de código arbitrario. La contaminación prototipo se refiere a una Vulnerabilidad de seguridad de JavaScript que permite a un atacante manipular los objetos y propiedades de una aplicación.

El problema afecta a los siguientes productos y versiones tanto para Windows como para macOS:

• Versiones de Acrobat DC 26.001.21367 y anteriores (corregido en 26.001.21411)
• Acrobat Reader DC versiones 26.001.21367 y anteriores (corregido en 26.001.21411)
• Acrobat 2024 versiones 24.001.30356 y anteriores (corregido en 24.001.30362 para Windows y 24.001.30360 para macOS)

Adobe reconoció que está «al tanto de que CVE-2026-34621 está siendo explotado en la naturaleza».

El desarrollo se produce días después de que el investigador de seguridad y fundador de EXPMON, Haifei Li, revelara detalles de la explotación de día cero de la falla para ejecutar código JavaScript malicioso al abrir documentos PDF especialmente diseñados a través de Adobe Reader. Hay evidencia que sugiere que la vulnerabilidad puede haber estado bajo explotación desde diciembre de 2025.

«Parece que Adobe ha determinado que el error puede provocar la ejecución de código arbitrario, no sólo una fuga de información», EXPMON dicho en una publicación en X. «Esto se alinea con nuestros hallazgos y los de otros investigadores de seguridad en los últimos días».

(La historia se actualizó después de la publicación para reflejar el cambio en la puntuación CVSS de 9,6 a 8,6. En una revisión de su aviso del 12 de abril de 2026, Adobe dijo que ajustó el vector de ataque de Red (AV:N) a Local (AV:L).)

Una vulnerabilidad de seguridad crítica en marimoun cuaderno Python de código abierto para análisis y ciencia de datos, ha sido explotado dentro de las 10 horas posteriores a su divulgación pública, según recomendaciones de Sysdig.

La vulnerabilidad en cuestión es CVE-2026-39987 (Puntuación CVSS: 9,3), una vulnerabilidad de ejecución remota de código previamente autenticada que afecta a todas las versiones de Marimo anteriores a la 0.20.4 incluida. La cuestión ha sido abordada en versión 0.23.0.

«El terminal WebSocket /terminal/ws carece de validación de autenticación, lo que permite a un atacante no autenticado obtener un shell PTY completo y ejecutar comandos arbitrarios del sistema», mantuvieron Marimo. dicho en un aviso a principios de esta semana.

«A diferencia de otros puntos finales de WebSocket (por ejemplo, /ws) que llaman correctamente a validar_auth() para la autenticación, el punto final /terminal/ws solo verifica el modo de ejecución y el soporte de la plataforma antes de aceptar conexiones, omitiendo por completo la verificación de autenticación».

En otras palabras, los atacantes pueden obtener un shell interactivo completo en cualquier instancia de Marimo expuesta a través de una única conexión WebSocket sin necesidad de credenciales.

Sysdig dijo que observó el primer intento de explotación dirigido a la vulnerabilidad dentro de las 9 horas y 41 minutos de su divulgación pública, con una operación de robo de credenciales ejecutada en minutos, a pesar de que no había ningún código de prueba de concepto (PoC) disponible en ese momento.

Se dice que el actor de amenazas desconocido detrás de la actividad se conectó al punto final /terminal/ws WebSocket en un sistema honeypot e inició un reconocimiento manual para explorar el sistema de archivos y, minutos más tarde, intentó recolectar sistemáticamente datos del archivo .env, así como buscar claves SSH y leer varios archivos.

El atacante regresó al honeypot una hora más tarde para acceder al contenido del archivo .env y verificar si otros actores de amenazas estaban activos durante el período de tiempo. No se instalaron otras cargas útiles, como mineros de criptomonedas o puertas traseras.

«El atacante creó un exploit funcional directamente a partir de la descripción del aviso, se conectó al terminal no autenticado y comenzó a explorar manualmente el entorno comprometido», dijo la compañía de seguridad en la nube. «El atacante se conectó cuatro veces durante 90 minutos, con pausas entre sesiones. Esto es consistente con un operador humano que trabaja en una lista de objetivos y regresa para confirmar los hallazgos».

La velocidad a la que se están utilizando como arma las fallas recientemente reveladas indica que los actores de amenazas están vigilando de cerca las revelaciones de vulnerabilidades y explotándolas rápidamente durante el tiempo entre la divulgación y la adopción del parche. Esto, a su vez, ha reducido el tiempo que los defensores deben responder una vez que se anuncia públicamente una vulnerabilidad.

«La suposición de que los atacantes sólo apuntan a plataformas ampliamente implementadas es errónea. Cualquier aplicación orientada a Internet con un aviso crítico es un objetivo, independientemente de su popularidad».

Los actores de amenazas han estado explotando una vulnerabilidad de día cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025.

El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito como un exploit PDF altamente sofisticado. El artefacto («Invoice540.pdf») apareció por primera vez en la plataforma VirusTotal el 28 de noviembre de 2025. A segunda muestra se subió a VirusTotal el 23 de marzo de 2026.

Dado el nombre del documento PDF, es probable que haya un elemento de ingeniería social involucrado, ya que los atacantes atraen a usuarios desprevenidos para que abran los archivos en Adobe Reader. Una vez iniciado, activa automáticamente la ejecución de JavaScript ofuscado para recopilar datos confidenciales y recibir cargas útiles adicionales.

El investigador de seguridad Gi7w0rm, en un X publicacióndijo que los documentos PDF observados contienen señuelos en ruso y se refieren a temas relacionados con eventos actuales relacionados con la industria del petróleo y el gas en Rusia.

«La muestra actúa como un exploit inicial con la capacidad de recopilar y filtrar varios tipos de información, seguido potencialmente por exploits de ejecución remota de código (RCE) y escape de espacio aislado (SBX),» dijo Li.

«Abusa de la vulnerabilidad de día cero/sin parches en Adobe Reader que le permite ejecutar API privilegiadas de Acrobat, y se confirma que funciona en la última versión de Adobe Reader».

También viene con capacidades para exfiltrar la información recopilada a un servidor remoto («169.40.2[.]68:45191») y recibir código JavaScript adicional para ejecutar.

Este mecanismo, argumentó Li, podría usarse para recopilar datos locales, realizar ataques avanzados de huellas dactilares y preparar el escenario para actividades posteriores, incluida la entrega de exploits adicionales para lograr la ejecución de código o zona de pruebas.

Se desconoce la naturaleza exacta de este exploit de siguiente etapa, ya que no se recibió respuesta del servidor. Esto, a su vez, podría implicar que el entorno de prueba local desde el que se emitió la solicitud no cumpliera con los criterios necesarios para recibir la carga útil.

«Sin embargo, esta capacidad de día cero/sin parches para una amplia recolección de información y el potencial para la posterior explotación de RCE/SBX es suficiente para que la comunidad de seguridad permanezca en alerta máxima», dijo Li.

(Esta es una historia en desarrollo. Vuelva a consultarla para obtener más detalles).

Fortinet ha lanzado parches fuera de banda para una falla de seguridad crítica que afecta a FortiClient EMS y que, según dijo, ha sido explotada en la naturaleza.

La vulnerabilidad, rastreada como CVE-2026-35616 (puntuación CVSS: 9,1), se ha descrito como una omisión de acceso a la API de autenticación previa que conduce a una escalada de privilegios.

«Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiClient EMS puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes diseñadas», Fortinet dicho en un aviso del sábado.

El problema afecta a las versiones 7.4.5 a 7.4.6 de FortiClient EMS. Se espera que esté completamente parcheado en la próxima versión 7.4.7, aunque la compañía ha lanzó una revisión para abordarlo.

A Simo Kohonen de Defused Cyber ​​y Nguyen Duc Anh se les atribuye el descubrimiento y reporte de la falla. En una publicación en X, Cyber ​​desactivado dicho observó la explotación de día cero de CVE-2026-35616 a principios de esta semana. Según watchTowr, los intentos de explotación contra CVE-2026-35616 se registraron por primera vez en sus honeypots el 31 de marzo de 2026.

La explotación exitosa de la falla podría permitir a un atacante no autenticado eludir las protecciones de autorización y autenticación de API y ejecutar códigos o comandos maliciosos a través de solicitudes diseñadas.

«Fortinet ha observado que esto se explota en la naturaleza e insta a los clientes vulnerables a instalar la revisión para FortiClient EMS 7.4.5 y 7.4.6», añadió la compañía.

El desarrollo se produce pocos días después de que otra vulnerabilidad crítica recientemente parcheada en FortiClient EMS (CVE-2026-21643, puntuación CVSS: 9.1) fuera objeto de explotación activa. Actualmente no se sabe si el mismo actor de amenazas está detrás de la explotación de ambas fallas y si se están utilizando como armas juntas.

Dada la gravedad de las vulnerabilidades, se recomienda a los usuarios que actualicen su FortiClient EMS a la última versión lo antes posible.

«El momento del aumento de la explotación salvaje de este día cero probablemente no sea una coincidencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.

«Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».

«Lo que es decepcionante es el panorama general. Esta es la segunda vulnerabilidad no autenticada en FortiClient EMS en cuestión de semanas».

«Entonces, una vez más, las organizaciones que ejecutan FortiClient EMS y están expuestas a Internet deben tratar esto como una situación de respuesta de emergencia, no como algo que se pueda resolver el martes por la mañana. Aplique la revisión. Los atacantes ya tienen una ventaja».

Una falla de seguridad de alta gravedad en el software de videoconferencia del cliente TrueConf ha sido explotada como un día cero como parte de una campaña dirigida a entidades gubernamentales en el sudeste asiático denominada Verdadero Caos.

La vulnerabilidad en cuestión es CVE-2026-3502 (Puntuación CVSS: 7,8), falta de verificación de integridad al recuperar el código de actualización de la aplicación, lo que permite a un atacante distribuir una actualización manipulada, lo que resulta en la ejecución de código arbitrario. Se ha parcheado en el cliente TrueConf de Windows a partir de versión 8.5.3lanzado a principios de este mes.

«La falla surge del abuso del mecanismo de validación del actualizador de TrueConf, lo que permite a un atacante que controla el servidor TrueConf local distribuir y ejecutar archivos arbitrarios en todos los puntos finales conectados», Check Point dicho en un informe publicado hoy.

En otras palabras, un atacante que logra hacerse con el control del servidor TrueConf local puede sustituir el paquete de actualización por una versión envenenada, que luego es extraída por la aplicación cliente instalada en los terminales de los clientes, debido al hecho de que no aplica una validación adecuada para garantizar que la actualización proporcionada por el servidor no haya sido manipulada.

Se ha descubierto que la campaña TrueChaos utiliza esta falla en el mecanismo de actualización como arma para probablemente implementar el marco de comando y control (C2) de código abierto Havoc en puntos finales vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenaza del nexo chino.

Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza implícita que el cliente deposita en el mecanismo de actualización se utilizó como arma para impulsar un instalador fraudulento que, a su vez, aprovecha la carga lateral de DLL para lanzar una puerta trasera de DLL.

También se ha observado que el implante DLL («7z-x64.dll») realiza acciones prácticas en el teclado para realizar reconocimiento, configurar la persistencia y recuperar cargas útiles adicionales («iscsiexe.dll») desde un servidor FTP («47.237.15).[.]197»). El objetivo principal de «iscsiexe.dll» es garantizar la ejecución de un binario benigno («poweriso.exe») que se coloca para cargar la puerta trasera.

Aunque no está claro cuál es el malware exacto de la etapa final entregado como parte del ataque, se evalúa con alta confianza que el objetivo final es implementar el implante Havoc.

Los vínculos de TrueChaos con un actor de amenazas del nexo chino se basan en las tácticas observadas, como el uso de carga lateral de DLL, Alibaba Cloud y Tencent para la infraestructura C2, y el hecho de que la misma víctima fue atacada en el mismo período de tiempo por ShadowPad, una sofisticada puerta trasera ampliamente utilizada por grupos de hackers vinculados a China.

Además de eso, el uso de Havoc se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y policiales en todo el sudeste asiático en 2025.

«La explotación de CVE-2026-3502 no requirió que el atacante comprometiera cada punto final individualmente», dijo Check Point. «En cambio, el atacante abusó de la relación de confianza entre un servidor central TrueConf local y sus clientes. Al reemplazar una actualización legítima por una maliciosa, convirtieron el flujo de actualización normal del producto en un canal de distribución de malware a través de múltiples redes gubernamentales conectadas».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla de seguridad crítica que afecta a n8n a sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.

La vulnerabilidad, rastreada como CVE-2025-68613 (Puntuación CVSS: 9,9), se refiere a un caso de inyección de expresión que conduce a la ejecución remota de código. n8n solucionó la deficiencia de seguridad en diciembre de 2025 en las versiones 1.120.4, 1.121.1 y 1.122.0. CVE-2025-68613 es la primera vulnerabilidad n8n que se incluye en el catálogo KEV.

«N8n contiene un control inadecuado de la vulnerabilidad de los recursos de código administrados dinámicamente en su sistema de evaluación de expresiones de flujo de trabajo que permite la ejecución remota de código», dijo CISA.

Según los mantenedores de la plataforma de automatización del flujo de trabajo, un atacante autenticado podría aprovechar la vulnerabilidad para ejecutar código arbitrario con los privilegios del proceso n8n.

La explotación exitosa de la falla podría resultar en un compromiso total de la instancia, lo que permitiría al atacante acceder a datos confidenciales, modificar flujos de trabajo o ejecutar operaciones a nivel de sistema.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza. Datos de la Fundación Shadowserver muestra que hay más de 24.700 casos sin parches expuestos en línea, más de 12.300 de ellos ubicados en América del Norte y 7.800 en Europa a principios de febrero de 2026.

La adición de CVE-2025-68613 se produce cuando Pillar Security reveló dos fallas críticas en n8n, una de las cuales, CVE-2026-27577 (puntaje CVSS: 9.4), se clasificó como «exploits adicionales» descubiertos en el sistema de evaluación de expresiones de flujo de trabajo después de CVE-2025-68613.

Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que parchearan sus instancias n8n antes del 25 de marzo de 2026, según lo dispuesto por una Directiva Operativa Vinculante (BOD 22-01) emitida en noviembre de 2021.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.

«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede llevar a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía. dicho en un aviso publicado a finales del mes pasado.

La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:

• VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
• Operaciones de VMware Aria 8.x: corregido en 8.18.6

Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz de cada nodo del dispositivo virtual de operaciones Aria.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.

«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.

Google el lunes revelado que una falla de seguridad de alta gravedad que afecta a un componente de código abierto de Qualcomm utilizado en dispositivos Android ha sido explotada en la naturaleza.

La vulnerabilidad en cuestión es CVE-2026-21385 (Puntuación CVSS: 7,8), una lectura excesiva del búfer en el componente Gráficos.

«Corrupción de la memoria al agregar datos proporcionados por el usuario sin verificar el espacio disponible en el buffer», Qualcomm dicho en un aviso, describiéndolo como un desbordamiento de enteros.

El fabricante de chips dijo que se le informó sobre la falla a través del equipo de seguridad de Android de Google el 18 de diciembre de 2025. Los clientes fueron notificados sobre el defecto de seguridad el 2 de febrero de 2026.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza. Sin embargo, Google reconoció en su boletín mensual de seguridad de Android que «hay indicios de que CVE-2026-21385 puede estar bajo explotación limitada y dirigida».

La actualización de Google de marzo de 2026 contiene parches para un total de 129 vulnerabilidades, incluida una falla crítica en el componente del sistema (CVE-2026-0006) que podría conducir a la ejecución remota de código sin requerir privilegios adicionales ni interacción del usuario. Por el contrario, Google abordó una vulnerabilidad de Android en enero de 2026 y ninguna el mes pasado.

Google también ha solucionado varios errores clasificados como críticos: un error de escalada de privilegios en Framework (CVE-2026-0047), una denegación de servicio (DoS) en el sistema (CVE-2025-48631) y siete fallas de escalada de privilegios en los componentes del Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 y CVE-2026-0031).

El boletín de seguridad de Android incluye dos niveles de parche (2026-03-01 y 2026-03-05) para brindar a los socios de Android la flexibilidad de abordar vulnerabilidades comunes en diferentes dispositivos más rápidamente.

El segundo nivel de parche incluye correcciones para los componentes del Kernel, así como los de Arm, Imagination Technologies, MediaTek, Qualcomm y Unisoc.

Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, según nuevos hallazgos de Akamai.

La vulnerabilidad en cuestión es CVE-2026-21513 (Puntuación CVSS: 8,8), una función de seguridad de alta gravedad que afecta al marco MSHTML.

«La falla del mecanismo de protección en MSHTML Framework permite a un atacante no autorizado eludir una característica de seguridad en una red», Microsoft anotado en su aviso sobre la falla. Fue solucionado por el fabricante de Windows como parte de su actualización del martes de parches de febrero de 2026.

Sin embargo, el gigante tecnológico también señaló que la vulnerabilidad había sido explotada como un día cero en ataques del mundo real, y le dio crédito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del grupo de productos de Office, junto con el Google Threat Intelligence Group (GTIG), por informarlo.

En un escenario de ataque hipotético, un actor de amenazas podría convertir la vulnerabilidad en un arma persuadiendo a la víctima para que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a través de un enlace o como un archivo adjunto de correo electrónico.

Una vez que se abre el archivo elaborado, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema operativo ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente lograr la ejecución del código.

Si bien la compañía no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto malicioso que se subió a VirusTotal el 30 de enero de 2026 y está asociado con la infraestructura vinculada a APT28.

Vale la pena señalar que la muestra fue señalada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques de APT28 que explotaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).

La compañía de infraestructura web dijo que CVE-2026-21513 tiene su origen en la lógica dentro de «ieframe.dll» que maneja la navegación de hipervínculos, y que es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW. Esto, a su vez, permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.

«Esta carga útil implica un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», dijo el investigador de seguridad Maor Dahan. «El archivo LNK inicia comunicación con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas útiles de varias etapas de la campaña. El exploit aprovecha los iframes anidados y múltiples contextos DOM para manipular los límites de confianza».

Akamai señaló que la técnica hace posible que un atacante eluda la Marca de la Web (MotW) y Configuración de seguridad mejorada de Internet Explorer (Es decir, ESC), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno limitado del navegador a través de ShellExecuteExW.

«Si bien la campaña observada aprovecha archivos LNK maliciosos, la ruta del código vulnerable puede activarse a través de cualquier componente que incorpore MSHTML», añadió la compañía. «Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK».