{"id":509,"date":"2026-04-09T14:53:43","date_gmt":"2026-04-09T14:53:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/09\/adobe-reader-zero-day-explotado-a-traves-de-archivos-pdf-maliciosos-desde-diciembre-de-2025-cyberdefensa-mx\/"},"modified":"2026-04-09T14:53:43","modified_gmt":"2026-04-09T14:53:43","slug":"adobe-reader-zero-day-explotado-a-traves-de-archivos-pdf-maliciosos-desde-diciembre-de-2025-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/09\/adobe-reader-zero-day-explotado-a-traves-de-archivos-pdf-maliciosos-desde-diciembre-de-2025-cyberdefensa-mx\/","title":{"rendered":"Adobe Reader Zero-Day explotado a trav\u00e9s de archivos PDF maliciosos desde diciembre de 2025 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los actores de amenazas han estado explotando una vulnerabilidad de d\u00eda cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025.<\/p>\n

El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito<\/a> como un exploit PDF altamente sofisticado. El artefacto<\/a> (\u00abInvoice540.pdf\u00bb) apareci\u00f3 por primera vez en la plataforma VirusTotal el 28 de noviembre de 2025. A segunda muestra<\/a> se subi\u00f3 a VirusTotal el 23 de marzo de 2026.<\/p>\n

Dado el nombre del documento PDF, es probable que haya un elemento de ingenier\u00eda social involucrado, ya que los atacantes atraen a usuarios desprevenidos para que abran los archivos en Adobe Reader. Una vez iniciado, activa autom\u00e1ticamente la ejecuci\u00f3n de JavaScript ofuscado para recopilar datos confidenciales y recibir cargas \u00fatiles adicionales.<\/p>\n

El investigador de seguridad Gi7w0rm, en un X publicaci\u00f3n<\/a>dijo que los documentos PDF observados contienen se\u00f1uelos en ruso y se refieren a temas relacionados con eventos actuales relacionados con la industria del petr\u00f3leo y el gas en Rusia.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa muestra act\u00faa como un exploit inicial con la capacidad de recopilar y filtrar varios tipos de informaci\u00f3n, seguido potencialmente por exploits de ejecuci\u00f3n remota de c\u00f3digo (RCE) y escape de espacio aislado (SBX),\u00bb dijo Li.<\/p>\n

\u00abAbusa de la vulnerabilidad de d\u00eda cero\/sin parches en Adobe Reader que le permite ejecutar API privilegiadas de Acrobat, y se confirma que funciona en la \u00faltima versi\u00f3n de Adobe Reader\u00bb.<\/p>\n

Tambi\u00e9n viene con capacidades para exfiltrar la informaci\u00f3n recopilada a un servidor remoto (\u00ab169.40.2[.]68:45191\u00bb) y recibir c\u00f3digo JavaScript adicional para ejecutar.<\/p>\n

Este mecanismo, argument\u00f3 Li, podr\u00eda usarse para recopilar datos locales, realizar ataques avanzados de huellas dactilares y preparar el escenario para actividades posteriores, incluida la entrega de exploits adicionales para lograr la ejecuci\u00f3n de c\u00f3digo o zona de pruebas.<\/p>\n

Se desconoce la naturaleza exacta de este exploit de siguiente etapa, ya que no se recibi\u00f3 respuesta del servidor. Esto, a su vez, podr\u00eda implicar que el entorno de prueba local desde el que se emiti\u00f3 la solicitud no cumpliera con los criterios necesarios para recibir la carga \u00fatil. <\/p>\n

\u00abSin embargo, esta capacidad de d\u00eda cero\/sin parches para una amplia recolecci\u00f3n de informaci\u00f3n y el potencial para la posterior explotaci\u00f3n de RCE\/SBX es suficiente para que la comunidad de seguridad permanezca en alerta m\u00e1xima\u00bb, dijo Li.<\/p>\n

(Esta es una historia en desarrollo. Vuelva a consultarla para obtener m\u00e1s detalles).<\/em><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los actores de amenazas han estado explotando una vulnerabilidad de d\u00eda cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025. El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito como un exploit PDF altamente sofisticado. El artefacto (\u00abInvoice540.pdf\u00bb) apareci\u00f3 por primera vez en […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1682,1339,24,67,1684,66,267,1475,1683,76,64],"class_list":["post-509","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-adobe","tag-archivos","tag-cyberdefensa-mx","tag-desde","tag-diciembre","tag-explotado","tag-maliciosos","tag-pdf","tag-reader","tag-traves","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=509"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/509\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}