Una vulnerabilidad de seguridad crítica que afecta MostrarDocun servicio de colaboración y gestión de documentos popular en China, ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad en cuestión es CVE-2025-0520 (también conocido como CNVD-2020-26585), que tiene una puntuación CVSS de 9,4 sobre 10,0.

Se relaciona con un caso de carga de archivos sin restricciones que surge de una validación inadecuada de la extensión del archivo, lo que permite a un atacante cargar archivos PHP arbitrarios y lograr la ejecución remota de código.

«[In] Versión de ShowDoc anterior a 2.8.7, se encuentra un problema de carga de archivos sin restricciones y sin autenticación y [an] El atacante puede cargar un shell web y ejecutar código arbitrario en el servidor», según un aviso. liberado por Vulhub.

La vulnerabilidad fue abordada en ShowDoc versión 2.8.7que se envió en octubre de 2020. La versión actual del software es 3.8.1.

De acuerdo a nuevos detalles compartido por Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, CVE-2025-0520 ha sido objeto de explotación activa por primera vez.

El exploit observado implica aprovechar la falla para colocar un shell web en un honeypot con sede en EE. UU. que ejecuta una versión vulnerable de ShowDoc. Los datos compartidos por la empresa muestran que hay más de 2.000 instancias de ShowDoc en línea, la mayoría de las cuales están ubicadas en China.

El desarrollo es el último ejemplo de cómo los actores de amenazas están explotando cada vez más las vulnerabilidades de seguridad del día N, independientemente de su base de instalación. Se recomienda a los usuarios que ejecutan ShowDoc que actualicen a la última versión para una protección óptima.

Actores de amenazas desconocidos han secuestrado el sistema de actualización del complemento Smart Slider 3 Pro para WordPress y Joomla para impulsar una versión envenenada que contiene una puerta trasera.

El incidente afecta a Smart Slider 3 Pro versión 3.5.1.35 para WordPress, según la empresa de seguridad de WordPress Patchstack. Smart Slider 3 es un popular complemento de control deslizante de WordPress con más de 800.000 instalaciones activas en sus ediciones gratuita y Pro.

«Una parte no autorizada obtuvo acceso a la infraestructura de actualización de Nextend y distribuyó una compilación totalmente escrita por el atacante a través del canal de actualización oficial», dijo la compañía. dicho. «Cualquier sitio que se actualizó a 3.5.1.35 entre su lanzamiento el 7 de abril de 2026 y su detección aproximadamente 6 horas después recibió un conjunto de herramientas de acceso remoto completamente armado».

Nextend, que mantiene el complemento, dicho una parte no autorizada obtuvo acceso no autorizado a su sistema de actualización e impulsó una versión maliciosa (3.5.1.35 Pro) que permaneció accesible durante aproximadamente seis horas, antes de ser detectada y retirada.

La actualización troyanizada incluye la capacidad de crear cuentas de administrador fraudulentas, así como puertas traseras que ejecutan comandos del sistema de forma remota a través de encabezados HTTP y ejecutan código PHP arbitrario a través de parámetros de solicitud ocultos. Según Patchstack, el malware viene con las siguientes capacidades:

• Logre la ejecución remota de código autenticado previamente a través de encabezados HTTP personalizados como X-Cache-Status y X-Cache-Key, el último de los cuales contiene el código que se pasa a «shell_exec()».
• Una puerta trasera que admite modos de ejecución dual, lo que permite al atacante ejecutar código PHP y comandos del sistema operativo arbitrarios en el servidor.
• Cree una cuenta de administrador oculta (por ejemplo, «wpsvc_a3f1») para acceso persistente y hágala invisible para los administradores legítimos manipulando los filtros «pre_user_query» y «views_users».
• Utilice tres opciones personalizadas de WordPress configuradas con la configuración de «carga automática» deshabilitada para reducir su visibilidad en los volcados de opciones: _wpc_ak (una clave de autenticación secreta), _wpc_uid (ID de usuario de la cuenta de administrador oculta) y _wpc_uinfo (JSON codificado en Base64 que contiene el nombre de usuario, la contraseña y el correo electrónico en texto plano de la cuenta fraudulenta).
• Instale la persistencia en tres ubicaciones para lograr redundancia: cree un complemento de uso obligatorio con el nombre de archivo «object-cache-helper.php» para que parezca un componente de almacenamiento en caché legítimo, agregue el componente de puerta trasera al archivo «functions.php» del tema activo y suelte un archivo llamado «class-wp-locale-helper.php» en el directorio «wp-includes» de WordPress.
• Exfiltre los datos que contienen la URL del sitio, la clave secreta de la puerta trasera, el nombre de host, la versión de Smart Slider 3, la versión de WordPress y la versión de PHP, la dirección de correo electrónico del administrador de WordPress, el nombre de la base de datos de WordPress, el nombre de usuario y la contraseña en texto plano de la cuenta del administrador y una lista de todos los métodos de persistencia instalados en el dominio de comando y control (C2) «wpjs1[.]com.»

«El malware opera en varias etapas, cada una diseñada para garantizar un acceso profundo, persistente y redundante al sitio comprometido», dijo Patchstack.

«La sofisticación de la carga útil es notable: en lugar de un simple webshell, el atacante implementó un conjunto de herramientas de persistencia de múltiples capas con varios puntos de reentrada independientes y redundantes, ocultación del usuario, ejecución de comandos resistente con cadenas de respaldo y registro C2 automático con exfiltración completa de credenciales.

Vale la pena señalar que la versión gratuita del complemento de WordPress no se ve afectada. Para contener el problema, Nextend cerró sus servidores de actualización, eliminó la versión maliciosa e inició una investigación completa sobre el incidente.

Se recomienda a los usuarios que tengan instalada la versión troyanizada que actualicen a la versión 3.5.1.36. Además, se recomienda a los usuarios que hayan instalado la versión fraudulenta que realicen la siguientes pasos de limpieza –

• Compruebe si hay cuentas de administrador sospechosas o desconocidas y elimínelas.
• Elimine Smart Slider 3 Pro versión 3.5.1.35 si está instalado.
• Reinstale una versión limpia del complemento.
• Elimine todos los archivos de persistencia que permitan que la puerta trasera persista en el sitio.
• Elimine las opciones maliciosas de WordPress de la tabla «wp_options»: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source y wp_page_for_privacy_policy_cache.
• Limpie el archivo «wp-config.php», incluida la eliminación de «define(‘WP_CACHE_SALT’, ‘‘);» si existe.
• Elimina la línea «#WPCacheSalt » del archivo «.htaccess» ubicado en la carpeta raíz de WordPress.
• Restablezca las contraseñas de administrador y usuario de la base de datos de WordPress.
• Cambie FTP/SSH y las credenciales de la cuenta de hosting.
• Revise el sitio web y los registros para detectar cambios no autorizados y solicitudes POST inusuales.
• Habilite la autenticación de dos factores (2FA) para administradores y deshabilite la ejecución de PHP en la carpeta de cargas.

«Este incidente es un compromiso clásico de la cadena de suministro, del tipo que hace que las defensas perimetrales tradicionales sean irrelevantes», dijo Patchstack. «Las reglas genéricas de firewall, la verificación no única, los controles de acceso basados ​​en roles, ninguno de ellos se aplica cuando el código malicioso se entrega a través del canal de actualización confiable. El complemento es el malware».

Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados ​​en PHP en servidores Linux y para lograr la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.

«En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecución, pasar instrucciones y activar funciones maliciosas», dijo el gigante tecnológico. dicho.

El enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando están presentes valores de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.

La actividad maliciosa aprovecha el hecho de que los valores de las cookies están disponibles en tiempo de ejecución a través del $_COOKIE superglobal variable, lo que permite consumir las entradas proporcionadas por el atacante sin análisis adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies viene en diferentes implementaciones:

• Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antes de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
• Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
• Un script PHP que utiliza un único valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.

En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.

Esta arquitectura de «autocuración» permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de limpieza y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico normal y entra en acción al recibir solicitudes HTTP con valores de cookies específicos.

«Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose sólo durante interacciones deliberadas», añadió Microsoft. «Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina».

Un aspecto común que une todas las implementaciones antes mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.

«El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas», dijo Microsoft. «Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspección y registro».

«En lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso».

Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo llamado Cobra DocGuard.

«Speagle está diseñado para recolectar subrepticiamente información confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltración de datos como comunicaciones legítimas entre el cliente y el servidor», investigadores de Symantec y Carbon Black. dicho en un informe publicado hoy.

Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por EsafeNet. El abuso de este software en ataques del mundo real se ha registrado públicamente dos veces hasta la fecha. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar en Hong Kong se vio comprometida en septiembre de 2022 mediante una actualización maliciosa impulsada por el software.

Más tarde, en agosto, Symantec destacó la actividad de un nuevo grupo de amenazas con nombre en código Carderbee, que se encontró usando una versión troyanizada del programa para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques tuvieron como objetivo múltiples organizaciones en Hong Kong y otros países asiáticos.

Speagle permanece sin atribuir hasta la fecha. Pero lo que hace que el malware sea digno de mención es que está diseñado para recopilar y filtrar datos únicamente de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se rastrea bajo el nombre de Runningcrab.

«Esto indica un objetivo deliberado, posiblemente para facilitar la recopilación de inteligencia o el espionaje industrial», dijeron los equipos de caza de amenazas propiedad de Broadcom. «En la actualidad, creemos que las hipótesis más probables son que se trata del trabajo de un actor patrocinado por el Estado o de un contratista privado disponible para contratar».

Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que pudo haber sido realizado a través de un ataque a la cadena de suministro, como lo demuestran los dos casos antes mencionados.

Además, merece una mención el papel central que juega el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor Cobra DocGuard legítimo para comando y control (C2) y como punto de exfiltración de datos, sino que también invoca un controlador asociado con el programa para eliminarse del host comprometido.

El ejecutable .NET de 32 bits, una vez iniciado, primero verifica la carpeta de instalación de Cobra DocGuard y luego procede a recopilar y transmitir datos desde la máquina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas específicas, como aquellas que contienen el historial del navegador web y datos de autocompletar.

Es más, se ha descubierto que una variante de Speagle incorpora funcionalidad adicional para activar/desactivar ciertos tipos de recopilación de datos, así como buscar archivos relacionados con misiles balísticos chinos como Dongfeng-27 (también conocido como DF-27).

«Speagle es una nueva amenaza parasitaria que utiliza inteligentemente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración», dijeron los investigadores. «Sin duda, su desarrollador se dio cuenta de ataques anteriores a la cadena de suministro utilizando el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo».

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña de años.

La actividad, que se ha dirigido a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068donde «CL» se refiere a «clúster» y «UNK» significa motivación desconocida.

Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.

«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios que viven de la tierra (LOLBIN)», investigador de seguridad Tom Fakterman. dicho. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo».

Las herramientas están diseñadas para atacar entornos Windows y Linux, y el adversario se basa en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015 y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra (también conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en línea.

Las cadenas de ataques típicas implican la explotación de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio «c:\inetpub\wwwroot» de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a través del shell web.

«Al codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ningún archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver la salida, pero no transferir archivos directamente».

Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python («python.exe» y «pythonw.exe») para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofery un escáner personalizado basado en Go llamado ScanPortPlus.

También se dice que CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo método que utiliza scripts por lotes para recopilar información del host y mapear el entorno local.

El adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales:

«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltraba en organizaciones críticas», concluyó la Unidad 42.

«Este grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todavía no podemos descartar por completo intenciones cibercriminales».

Los investigadores de ciberseguridad han revelado que los asistentes de inteligencia artificial (IA) que admiten la navegación web o las capacidades de recuperación de URL pueden convertirse en retransmisiones sigilosas de comando y control (C2), una técnica que podría permitir a los atacantes mezclarse con las comunicaciones empresariales legítimas y evadir la detección.

El método de ataque, que se ha demostrado contra Microsoft Copilot y xAI Grok, lleva el nombre en código IA como proxy C2 por Punto de control.

Aprovecha «el acceso web anónimo combinado con navegación y mensajes de resúmenes», dijo la compañía de ciberseguridad. «El mismo mecanismo también puede permitir operaciones de malware asistidas por IA, incluida la generación de flujos de trabajo de reconocimiento, secuencias de comandos de las acciones del atacante y decidir dinámicamente ‘qué hacer a continuación’ durante una intrusión».

El desarrollo señala otra evolución importante en la forma en que los actores de amenazas podrían abusar de los sistemas de inteligencia artificial, no solo para escalar o acelerar diferentes fases del ciclo de ciberataque, sino también aprovechar las API para generar dinámicamente código en tiempo de ejecución que pueda adaptar su comportamiento en función de la información recopilada del host comprometido y evadir la detección.

Las herramientas de IA ya actúan como multiplicador de fuerza para los adversarioslo que les permite delegar pasos clave en sus campañas, ya sea para realizar reconocimientos, escaneo de vulnerabilidades, elaborar correos electrónicos de phishing convincentes, crear identidades sintéticas, depurar código o desarrollar malware. Pero la IA como proxy C2 va un paso más allá.

Básicamente, aprovecha las capacidades de navegación web y recuperación de URL de Grok y Microsoft Copilot para recuperar URL controladas por el atacante y devolver respuestas a través de sus interfaces web, transformándolo esencialmente en un canal de comunicación bidireccional para aceptar comandos emitidos por el operador y canalizar los datos de la víctima.

En particular, todo esto funciona sin requerir una clave API o una cuenta registrada, lo que hace que los enfoques tradicionales como la revocación de clave o la suspensión de cuenta sean inútiles.

Visto de otra manera, este enfoque no es diferente de las campañas de ataque que han convertido en armas servicios confiables para la distribución de malware y C2. También se le conoce como vivir en sitios confiables (LOTS).

Sin embargo, para que todo esto suceda, existe un requisito previo clave: el actor de la amenaza ya debe haber comprometido una máquina por algún otro medio e instalado malware, que luego utiliza Copilot o Grok como canal C2 mediante indicaciones especialmente diseñadas que hacen que el agente de IA se comunique con la infraestructura controlada por el atacante y pase la respuesta que contiene el comando que se ejecutará en el host al malware.

Check Point también señaló que un atacante podría ir más allá de la generación de comandos para utilizar el agente de IA para diseñar una estrategia de evasión y determinar el siguiente curso de acción pasando detalles sobre el sistema y validando si vale la pena explotarlo.

«Una vez que los servicios de IA puedan usarse como una capa de transporte sigilosa, la misma interfaz también puede transmitir indicaciones y resultados de modelos que actúan como un motor de decisión externo, un trampolín hacia los implantes impulsados ​​por IA y C2 estilo AIOps que automatizan la clasificación, la selección de objetivos y las opciones operativas en tiempo real», afirmó Check Point.

La divulgación se produce semanas después de que la Unidad 42 de Palo Alto Networks demostrara una novedosa técnica de ataque en la que una página web aparentemente inocua se puede convertir en un sitio de phishing mediante el uso de llamadas API del lado del cliente a servicios confiables de modelo de lenguaje grande (LLM) para generar JavaScript malicioso dinámicamente en tiempo real.

El método es similar al reensamblaje de la última milla (LMR), que implica contrabandear malware a través de la red a través de canales no monitoreados como WebRTC y WebSocket, e insertarlos directamente en el navegador de la víctima, evitando efectivamente los controles de seguridad en el proceso.

«Los atacantes podrían utilizar indicaciones cuidadosamente diseñadas para eludir las barreras de seguridad de la IA, engañando al LLM para que devuelva fragmentos de código malicioso», afirman los investigadores de la Unidad 42 Shehroze Farooqi, Alex Starov, Diva-Oriane Marty y Billy Melicher. dicho. «Estos fragmentos se devuelven a través de la API del servicio LLM, luego se ensamblan y ejecutan en el navegador de la víctima en tiempo de ejecución, lo que da como resultado una página de phishing completamente funcional».