Mandiant Threat Defense de Google dijo el lunes que descubrió una explotación de n días de una descompostura de seguridad ahora parcheada en la plataforma de acercamiento remoto y intercambio de archivos Triofox de Gladinet.
La vulnerabilidad crítica, rastreada como CVE-2025-12480 (Puntuación CVSS: 9,1), permite a un atacante eludir la autenticación y ceder a las páginas de configuración, lo que da como resultado la carga y ejecución de cargas enseres arbitrarias.
El cíclope tecnológico dijo que observó un rama de amenazas rastreado como UNC6485 que utilizaba la descompostura como arsenal ya el 24 de agosto de 2025, casi un mes luego de que Gladinet lanzara parches para la descompostura en la lectura 16.7.10368.56560. Vale la pena señalar que CVE-2025-12480 es la tercera descompostura en Triofox que ha sido objeto de explotación activa solo este año, luego de CVE-2025-30406 y CVE-2025-11371.
“Se agregó protección para las páginas de configuración auténtico”, según las notas de la lectura del software. “Ya no se puede ceder a estas páginas luego de que se haya configurado Triofox”.
Mandiant dijo que el actor de amenazas utilizó la vulnerabilidad de acercamiento no autenticado como arsenal para obtener acercamiento a las páginas de configuración y luego las usó para crear una nueva cuenta de administrador nativa, Cluster Admin, ejecutando el proceso de configuración. La cuenta recién creada se utilizó después para realizar actividades de seguimiento.
“Para obtener la ejecución del código, el atacante inició sesión utilizando la cuenta de administrador recién creada. El atacante cargó archivos maliciosos para ejecutarlos usando la función antivirus incorporada”, dijeron los investigadores de seguridad Stallone D’Souza, Praveeth DSouza, Bill Glynn, Kevin O’Flynn y Yash Gupta.
“Para configurar la función antivirus, el sucesor puede proporcionar una ruta arbitraria para el antivirus seleccionado. El archivo configurado como ubicación del escáner antivirus hereda los privilegios de la cuenta del proceso principal de Triofox, ejecutándose en el contexto de la cuenta SISTEMA”.
Los atacantes, según Mandiant, ejecutaron su script por lotes pillo (“centre_report.bat”) configurando la ruta del motor antivirus para que apunte al script. El script está diseñado para descargar un instalador para Zoho Unified Endpoint Management System (UEMS) desde 84.200.80(.)252 y usarlo para implementar programas de acercamiento remoto como Zoho Assist y AnyDesk en el host.
El acercamiento remoto proporcionado por Zoho Assist se aprovechó para realizar un inspección, seguido de intentos de cambiar las contraseñas de las cuentas existentes y agregarlas a los administradores locales y al rama “Administradores de dominio” para medrar privilegios.
Como forma de eludir la detección, los actores de amenazas descargaron herramientas como Plink y PuTTY para configurar un túnel secreto a un servidor de comando y control (C2) a través del puerto 433 a través de SSH con el objetivo final de permitir el tráfico RDP entrante.
Si adecuadamente se desconoce el objetivo final de la campaña, se recomienda que los usuarios de Triofox actualicen a la última lectura, auditen las cuentas de administrador y verifiquen que el motor antivirus de Triofox no esté configurado para ejecutar scripts o archivos binarios no autorizados.
