{"id":414,"date":"2026-03-31T16:34:36","date_gmt":"2026-03-31T16:34:36","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/trueconf-zero-day-explotado-en-ataques-a-redes-gubernamentales-del-sudeste-asiatico-cyberdefensa-mx\/"},"modified":"2026-03-31T16:34:36","modified_gmt":"2026-03-31T16:34:36","slug":"trueconf-zero-day-explotado-en-ataques-a-redes-gubernamentales-del-sudeste-asiatico-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/trueconf-zero-day-explotado-en-ataques-a-redes-gubernamentales-del-sudeste-asiatico-cyberdefensa-mx\/","title":{"rendered":"TrueConf Zero-Day explotado en ataques a redes gubernamentales del sudeste asi\u00e1tico \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una falla de seguridad de alta gravedad en el software de videoconferencia del cliente TrueConf ha sido explotada como un d\u00eda cero como parte de una campa\u00f1a dirigida a entidades gubernamentales en el sudeste asi\u00e1tico denominada Verdadero Caos<\/strong>.<\/p>\n

La vulnerabilidad en cuesti\u00f3n es CVE-2026-3502<\/a> (Puntuaci\u00f3n CVSS: 7,8), falta de verificaci\u00f3n de integridad al recuperar el c\u00f3digo de actualizaci\u00f3n de la aplicaci\u00f3n, lo que permite a un atacante distribuir una actualizaci\u00f3n manipulada, lo que resulta en la ejecuci\u00f3n de c\u00f3digo arbitrario. Se ha parcheado en el cliente TrueConf de Windows a partir de versi\u00f3n 8.5.3<\/a>lanzado a principios de este mes.<\/p>\n

\u00abLa falla surge del abuso del mecanismo de validaci\u00f3n del actualizador de TrueConf, lo que permite a un atacante que controla el servidor TrueConf local distribuir y ejecutar archivos arbitrarios en todos los puntos finales conectados\u00bb, Check Point dicho<\/a> en un informe publicado hoy.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En otras palabras, un atacante que logra hacerse con el control del servidor TrueConf local puede sustituir el paquete de actualizaci\u00f3n por una versi\u00f3n envenenada, que luego es extra\u00edda por la aplicaci\u00f3n cliente instalada en los terminales de los clientes, debido al hecho de que no aplica una validaci\u00f3n adecuada para garantizar que la actualizaci\u00f3n proporcionada por el servidor no haya sido manipulada.<\/p>\n

Se ha descubierto que la campa\u00f1a TrueChaos utiliza esta falla en el mecanismo de actualizaci\u00f3n como arma para probablemente implementar el marco de comando y control (C2) de c\u00f3digo abierto Havoc en puntos finales vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenaza del nexo chino.<\/p>\n

Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza impl\u00edcita que el cliente deposita en el mecanismo de actualizaci\u00f3n se utiliz\u00f3 como arma para impulsar un instalador fraudulento que, a su vez, aprovecha la carga lateral de DLL para lanzar una puerta trasera de DLL.<\/p>\n

\"TrueConf<\/a><\/div>\n

Tambi\u00e9n se ha observado que el implante DLL (\u00ab7z-x64.dll\u00bb) realiza acciones pr\u00e1cticas en el teclado para realizar reconocimiento, configurar la persistencia y recuperar cargas \u00fatiles adicionales (\u00abiscsiexe.dll\u00bb) desde un servidor FTP (\u00ab47.237.15).[.]197\u00bb). El objetivo principal de \u00abiscsiexe.dll\u00bb es garantizar la ejecuci\u00f3n de un binario benigno (\u00abpoweriso.exe\u00bb) que se coloca para cargar la puerta trasera.<\/p>\n

Aunque no est\u00e1 claro cu\u00e1l es el malware exacto de la etapa final entregado como parte del ataque, se eval\u00faa con alta confianza que el objetivo final es implementar el implante Havoc.<\/p>\n

Los v\u00ednculos de TrueChaos con un actor de amenazas del nexo chino se basan en las t\u00e1cticas observadas, como el uso de carga lateral de DLL, Alibaba Cloud y Tencent para la infraestructura C2, y el hecho de que la misma v\u00edctima fue atacada en el mismo per\u00edodo de tiempo por ShadowPad, una sofisticada puerta trasera ampliamente utilizada por grupos de hackers vinculados a China.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Adem\u00e1s de eso, el uso de Havoc se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y policiales en todo el sudeste asi\u00e1tico en 2025.<\/p>\n

\u00abLa explotaci\u00f3n de CVE-2026-3502 no requiri\u00f3 que el atacante comprometiera cada punto final individualmente\u00bb, dijo Check Point. \u00abEn cambio, el atacante abus\u00f3 de la relaci\u00f3n de confianza entre un servidor central TrueConf local y sus clientes. Al reemplazar una actualizaci\u00f3n leg\u00edtima por una maliciosa, convirtieron el flujo de actualizaci\u00f3n normal del producto en un canal de distribuci\u00f3n de malware a trav\u00e9s de m\u00faltiples redes gubernamentales conectadas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una falla de seguridad de alta gravedad en el software de videoconferencia del cliente TrueConf ha sido explotada como un d\u00eda cero como parte de una campa\u00f1a dirigida a entidades gubernamentales en el sudeste asi\u00e1tico denominada Verdadero Caos. La vulnerabilidad en cuesti\u00f3n es CVE-2026-3502 (Puntuaci\u00f3n CVSS: 7,8), falta de verificaci\u00f3n de integridad al recuperar el […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[753,233,24,70,66,363,153,752,1429,64],"class_list":["post-414","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-asiatico","tag-ataques","tag-cyberdefensa-mx","tag-del","tag-explotado","tag-gubernamentales","tag-redes","tag-sudeste","tag-trueconf","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/414","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=414"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/414\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=414"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=414"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=414"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}