Los actores de amenazas han estado explotando una vulnerabilidad de día cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025.
El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito como un exploit de PDF muy sofisticado. El artefacto (“Invoice540.pdf”) apareció por primera vez en la plataforma VirusTotal el 28 de noviembre de 2025. Se cargó una segunda muestra en VirusTotal el 23 de marzo de 2026.
Transmitido el nombre del documento PDF, es probable que haya un ambiente de ingeniería social involucrado, ya que los atacantes atraen a usuarios desprevenidos para que abran los archivos en Adobe Reader. Una vez iniciado, activa automáticamente la ejecución de JavaScript ofuscado para compendiar datos confidenciales y cobrar cargas efectos adicionales.
El investigador de seguridad Gi7w0rm, en una publicación de X, dijo que los documentos PDF observados contienen señuelos en ruso y se refieren a temas relacionados con eventos actuales relacionados con la industria del petróleo y el gas en Rusia.
“La muestra actúa como un exploit original con la capacidad de compendiar y filtrar varios tipos de información, seguido potencialmente por exploits de ejecución remota de código (RCE) y escape de espacio ocasional (SBX),” dijo Li.
“Abusa de la vulnerabilidad de día cero/sin parches en Adobe Reader que le permite ejecutar API privilegiadas de Acrobat, y se confirma que funciona en la última traducción de Adobe Reader”.
Todavía viene con capacidades para filtrar la información recopilada a un servidor remoto (“169.40.2(.)68:45191”) y cobrar código JavaScript adicional para ejecutar.
Este mecanismo, argumentó Li, podría estar de moda para compendiar datos locales, realizar ataques avanzados de huellas dactilares y preparar el proscenio para actividades posteriores, incluida la entrega de exploits adicionales para alcanzar la ejecución de código o zona de pruebas.
Se desconoce la naturaleza exacta de este exploit de futuro etapa, ya que no se recibió respuesta del servidor. Esto, a su vez, podría implicar que el entorno de prueba restringido desde el que se emitió la solicitud no cumpliera con los criterios necesarios para cobrar la carga útil.
“Sin retención, esta capacidad de día cero/sin parches para una amplia cosecha de información y el potencial para la posterior explotación de RCE/SBX es suficiente para que la comunidad de seguridad permanezca en alerta máxima”, dijo Li.
Renovar
Adobe ha publicado actualizaciones de seguridad para la vulnerabilidad (CVE-2026-34621, puntuación CVSS: 9,6). Por crédito consulte aquí para más detalles.
