Una equivocación de seguridad de entrada importancia en el software de videoconferencia del cliente TrueConf ha sido explotada como un día cero como parte de una campaña dirigida a entidades gubernamentales en el sudeste oriental denominada Serio Caos.
La vulnerabilidad en cuestión es CVE-2026-3502 (puntuación CVSS: 7,8), una desliz de demostración de integridad al recuperar el código de puesta al día de la aplicación, lo que permite a un atacante distribuir una puesta al día manipulada, lo que resulta en la ejecución de código injustificado. Se ha parcheado en el cliente TrueConf de Windows a partir de la interpretación 8.5.3, lanzazo a principios de este mes.
“La equivocación surge del exceso del mecanismo de energía del actualizador de TrueConf, lo que permite a un atacante que controla el servidor TrueConf circunscrito distribuir y ejecutar archivos arbitrarios en todos los puntos finales conectados”, dijo Check Point en un crónica publicado hoy.
En otras palabras, un atacante que logra hacerse con el control del servidor TrueConf circunscrito puede sustituir el paquete de puesta al día por una interpretación envenenada, que luego es extraída por la aplicación cliente instalada en los terminales de los clientes, conveniente al hecho de que no aplica una energía adecuada para asegurar que la puesta al día proporcionada por el servidor no haya sido manipulada.
Se ha descubierto que la campaña TrueChaos utiliza esta equivocación en el mecanismo de puesta al día como arsenal para probablemente implementar el entorno de comando y control (C2) de código hendido Havoc en puntos finales vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenaza del trabazón chino.
Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza implícita que el cliente deposita en el mecanismo de puesta al día se utilizó como arsenal para impulsar un instalador fraudulento que, a su vez, aprovecha la carga limítrofe de DLL para exhalar una puerta trasera de DLL.
Incluso se ha observado que el implante DLL (“7z-x64.dll”) realiza acciones prácticas en el teclado para realizar registro, configurar la persistencia y recuperar cargas avíos adicionales (“iscsiexe.dll”) de un servidor FTP (“47.237.15(.)197”). El objetivo principal de “iscsiexe.dll” es asegurar la ejecución de un binario afable (“poweriso.exe”) que se coloca para cargar la puerta trasera.
Aunque no está claro cuál es el malware exacto de la etapa final entregado como parte del ataque, se evalúa con entrada confianza que el objetivo final es implementar el implante Havoc.
Los vínculos de TrueChaos con un actor de amenazas del trabazón chino se basan en las tácticas observadas, como el uso de carga limítrofe de DLL, Alibaba Cloud y Tencent para la infraestructura C2, y el hecho de que la misma víctima fue atacada en el mismo período de tiempo por ShadowPad, una sofisticada puerta trasera ampliamente utilizada por grupos de hackers vinculados a China.
Encima de eso, el uso de Havoc se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y policiales en todo el sudeste oriental en 2025.
“La explotación de CVE-2026-3502 no requirió que el atacante comprometiera cada punto final individualmente”, dijo Check Point. “En cambio, el atacante abusó de la relación de confianza entre un servidor central TrueConf circunscrito y sus clientes. Al reemplazar una puesta al día legítima por una maliciosa, convirtieron el flujo de puesta al día frecuente del producto en un canal de distribución de malware a través de múltiples redes gubernamentales conectadas”.
