Una vulnerabilidad de máxima gravedad en pac4j, una biblioteca de código abierto integrada en cientos de paquetes y repositorios de software, representa una importante amenaza a la seguridad, pero hasta ahora ha recibido escasa atención.

El defecto en el motor de seguridad de Java, que maneja la autenticación a través de múltiples marcos, no ha sido explotado desde que la firma de revisión de código CodeAnt AI publicó un exploit de prueba de concepto la semana pasada. La empresa descubrió la vulnerabilidad y la informó de forma privada al responsable de pac4j, que reveló el defecto y lanzó parches para las versiones afectadas de la biblioteca en dos días.

Algunos investigadores le dijeron a CyberScoop que están preocupados por la vulnerabilidad. CVE-2026-29000 – porque afecta a un motor de seguridad Java ampliamente implementado que los atacantes pueden explotar con relativa facilidad.

«Un actor de amenazas sólo necesita acceder a la clave RSA pública de un servidor para intentar la explotación», dijeron investigadores de Arctic Wolf Labs en un correo electrónico.

Estas claves públicas, que se comparten abiertamente, se utilizan para cifrar datos y permitir la autenticación de identidad. Los atacantes pueden desencadenar el defecto y eludir la autenticación falsificando un JSON Web Token (JWT) o implementando reclamos JSON sin procesar a través de JSON Web Encryption (JWE) en pac4j-jwt para ingresar a un sistema con los privilegios más altos.

«Actualmente es demasiado temprano en el ciclo de vida de esta vulnerabilidad para saber si se materializará en una amenaza importante, pero el hecho de que sea una vulnerabilidad en una biblioteca hace que sea más difícil evaluar el riesgo potencial», dijeron investigadores de Arctic Wolf Labs. «Los consumidores intermedios de la biblioteca pueden terminar necesitando emitir sus propios avisos, como hemos visto con otras vulnerabilidades similares en el pasado».

Amartya Jha, cofundador y director ejecutivo de CodeAnt AI, advirtió que cualquiera con conocimientos básicos de JWT puede lograr la explotación. La vulnerabilidad es una «falla lógica que ningún escáner de coincidencia de patrones o herramienta de prueba de seguridad de aplicaciones estáticas basada en reglas podría detectar, porque no hay una sola línea de código incorrecta».

El riesgo de seguridad posterior, como suele ocurrir con el software de código abierto, está muy extendido. El módulo de autenticación para pac4j está integrado en múltiples marcos, incluidos Spring Security, Play Framework, Vert.x, Javalin y otros, dijo Jha.

Es posible que muchas organizaciones no se den cuenta de que dependen de pac4j-jwt porque no siempre se declara en los archivos de compilación, añadió. CodeAnt dijo que se comunicó con cientos de mantenedores la semana pasada para advertirles que sus paquetes y repositorios se ven afectados por la vulnerabilidad, que tiene una calificación CVSS de 10.

Los investigadores no han observado ningún código de exploit PoC adicional, pero observaron que la ruta del exploit es fácil de reproducir.

«Las condiciones para la explotación son favorables», afirmó Jha. «Es una autenticación previa, no requiere secretos, la PoC es pública y la superficie de ataque incluye cualquier aplicación orientada a Internet o puerta de enlace API que utilice la configuración afectada. La ventana entre la PoC pública y la adopción de parches es donde el riesgo es mayor».

Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de acceso remoto (RAT).

«Un descargador malicioso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», informó el equipo de Microsoft Threat Intelligence. dicho en una publicación en X. «Este descargador usó PowerShell y binarios que viven de la tierra (LOLBins) como cmstp.exe para una ejecución sigilosa».

La cadena de ataque también está diseñada para evadir la detección eliminando el descargador inicial y configurando exclusiones de Microsoft Defender para los componentes RAT.

La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado «world.vbs», antes de que se implemente la carga útil final en el host comprometido. El malware, según Microsoft, es un «malware multipropósito» que actúa como cargador, ejecutor, descargador y RAT.

Una vez iniciado, se conecta a un servidor externo en «79.110.49[.]15» para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas útiles adicionales.

Como forma de defenderse contra la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en hosts comprometidos.

La divulgación se produce cuando BlackFog reveló detalles de una nueva familia de malware RAT para Windows llamada Steaelite que se anunció por primera vez en foros criminales en noviembre de 2025 como el «mejor RAT para Windows» con capacidades «totalmente indetectables» (FUD). Es compatible tanto con Windows 10 como con 11.

A diferencia de otros RAT disponibles en el mercado vendidos a actores criminales, Steaelite agrupa el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel también incorpora varias herramientas de desarrollador para facilitar el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la distribución por USB, la modificación del fondo de pantalla, la omisión de UAC y la funcionalidad de clipper.

Otras características notables incluyen la eliminación de malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.

En cuanto a sus capacidades principales, Steaelite RAT admite ejecución remota de código, administración de archivos, transmisión en vivo, acceso a cámara web y micrófono, administración de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, apertura de URL, ataques DDoS y compilación de carga útil VB.NET.

«La herramienta brinda a los operadores control basado en navegador sobre máquinas Windows infectadas, que cubre la ejecución remota de código, robo de credenciales, vigilancia en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel», dijo la investigadora de seguridad Wendy McCague. dicho.

«Un único actor de amenazas puede explorar archivos, extraer documentos, recopilar credenciales e implementar ransomware desde el mismo panel. Esto permite una doble extorsión completa desde una sola herramienta».

En las últimas semanas, los cazadores de amenazas también han descubierto dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT que permiten un control remoto integral sobre los hosts infectados e incluso implementan capacidades de forma selectiva después del compromiso. Según Ctrl Alt Intel, se sospecha que KazakRAT es obra de un grupo sospechoso de estar afiliado al estado que tiene como objetivo entidades kazajas y afganas como parte de una campaña persistente en curso desde al menos agosto de 2022.