Investigadores de ciberseguridad han descubierto la explotación de una vulnerabilidad ya parcheada en Microsoft Windows, que permite a actores maliciosos desplegar el malware PipeMagic en ataques de ransomware RansomExx.

El ataque se basa en la vulnerabilidad CVE-2025-29824, una falla de escalación de privilegios que afecta al sistema de archivos de registro común de Windows (CLFS). Microsoft abordó esta vulnerabilidad en abril de 2025. Kaspersky y BI.ZONE publicaron un informe conjunto detallando la explotación.

PipeMagic fue documentado por primera vez en 2022 como parte de ataques de ransomware RansomExx dirigidos a empresas industriales en el sudeste asiático. Es capaz de actuar como una puerta trasera (backdoor) completa, proporcionando acceso remoto y ejecutando una amplia gama de comandos en los sistemas comprometidos.

En esos ataques iniciales, los atacantes explotaban la vulnerabilidad CVE-2017-0144, una falla de ejecución remota de código en Windows SMB, para infiltrarse en la infraestructura de las víctimas. En octubre de 2024, se observaron cadenas de infección en Arabia Saudita que utilizaban una aplicación falsa de OpenAI ChatGPT como cebo para entregar el malware.

Microsoft atribuyó la explotación de CVE-2025-29824 y el despliegue de PipeMagic al actor de amenazas rastreado como Storm-2460.

Una característica distintiva de PipeMagic es la generación de una matriz aleatoria de 16 bytes utilizada para crear una tubería (pipe) nombrada con el formato: \\.\pipe\1.<cadena hexadecimal>. Posteriormente, se lanza un hilo que crea continuamente esta tubería, intenta leer datos de ella y luego la destruye. Este método de comunicación es esencial para que la puerta trasera transmita cargas útiles y notificaciones cifradas.

PipeMagic es un malware modular basado en plugins que utiliza un dominio alojado en la nube de Microsoft Azure para almacenar los componentes adicionales. Los ataques de 2025 dirigidos a Arabia Saudita y Brasil se basaron en un archivo de índice de ayuda de Microsoft (“metafile.mshi”) como cargador. Este cargador, a su vez, descomprime código C# que descifra y ejecuta shellcode incrustado.

Kaspersky también descubrió artefactos del cargador de PipeMagic disfrazados como un cliente ChatGPT en 2025, similares a los observados en octubre de 2024. Estos ejemplos utilizaban técnicas de secuestro de DLL para ejecutar una DLL maliciosa que imitaba un archivo de actualización de Google Chrome (“googleupdate.dll”).

Independientemente del método de carga utilizado, todos conducen al despliegue de la puerta trasera PipeMagic, que admite varios módulos:

* Módulo de comunicación asíncrona que admite cinco comandos para terminar el plugin, leer/escribir archivos, terminar una operación de archivo o terminar todas las operaciones de archivo.
* Módulo cargador para inyectar cargas útiles adicionales en la memoria y ejecutarlas.
* Módulo inyector para iniciar un ejecutable C#.

Las versiones detectadas en 2025 muestran mejoras con respecto a la versión de 2024, destinadas a persistir en los sistemas de las víctimas y moverse lateralmente dentro de las redes internas. En los ataques de 2025, los atacantes utilizaron la herramienta ProcDump, renombrada como dllhost.exe, para extraer memoria del proceso LSASS.

Microsoft describe a PipeMagic como un framework diseñado para la flexibilidad y la persistencia, capaz de ejecutar cargas útiles de forma dinámica, manteniendo una comunicación robusta de comando y control (C2) a través de un módulo de red dedicado.

Los ataques de Storm-2460 abarcan diversos sectores y geografías, incluyendo tecnología de la información (TI), finanzas y bienes raíces en Estados Unidos, Europa, Sudamérica y Oriente Medio.

PipeMagic obtiene su nombre del uso de comunicación interprocesos cifrada a través de tuberías (pipes) nombradas. El malware se comunica con su servidor C2 a través de TCP y recibe módulos de carga útil a través de una tubería nombrada. Las cargas útiles se almacenan en memoria utilizando una estructura de datos llamada lista doblemente enlazada, sin dejar rastros en el disco.

Otro módulo importante es un componente de red que se utiliza para las comunicaciones C2 para enviar datos, recopilar información completa del sistema y procesar comandos contenidos dentro de las respuestas C2, facilitando el control granular sobre la gestión de módulos, la ejecución y el reconocimiento del sistema.

La arquitectura modular, sigilosa y altamente extensible de PipeMagic dificulta significativamente la detección y el análisis, ya que descarga la comunicación de red y las tareas de puerta trasera a módulos discretos.

En INGENIERÍA TELEMÁTICA SAS, comprendemos la complejidad de las amenazas modernas como PipeMagic y RansomExx. Ofrecemos soluciones integrales de ciberseguridad, incluyendo firewall, FortiAnalyzer, FortiManager, FortiSwitch, FortiAP, EDR/XDR, SOC, y protección de correo electrónico. Si su organización necesita fortalecer su postura de seguridad contra este tipo de ataques sofisticados, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente. Estamos aquí para ayudarle a proteger sus activos más valiosos.

Fuente original: Ver aquí