Microsoft revela la cadena de ataque completa: los criminales no solo están entrando, sino que están instalando su propia infraestructura de gestión (Zoho, Velociraptor) dentro de las redes víctimas para persistir indefinidamente.
Si pensabas que parchear SolarWinds Web Help Desk (WHD) era urgente la semana pasada, los nuevos hallazgos de hoy, 9 de febrero de 2026, elevan la situación a crítica, basándose en investigaciones del Microsoft Defender Research Team, detalla cómo los atacantes están convirtiendo los servidores WHD comprometidos en centros de comando avanzados.
No se trata de un simple ataque de “entrar y salir”. Los actores de amenazas están explotando las vulnerabilidades de deserialización (CVE-2025-40551 y CVE-2025-26399) para desplegar un arsenal de herramientas legítimas (RMM) y técnicas de ofuscación complejas, dificultando enormemente su detección por los antivirus tradicionales.
La Cadena de Ataque “Multi-Etapa”
El ataque comienza con la explotación del fallo de deserialización para lograr la Ejecución Remota de Código (RCE) sin autenticación. Pero lo que sigue es lo alarmante:
- Descarga vía BITS: Una vez dentro, el servicio comprometido de WHD invoca PowerShell para usar el Background Intelligent Transfer Service (BITS) de Windows una herramienta nativa y confiable para descargar cargas útiles maliciosas.
- El Camuflaje Perfecto (BYOVD/RMM):
- En lugar de instalar malware desconocido, instalan Zoho ManageEngine, una herramienta de administración remota legítima. Al ser software firmado y válido, muchas herramientas de seguridad lo ignoran.
- También despliegan Velociraptor (una herramienta forense) y túneles de Cloudflare para mantener el control remoto sin abrir puertos en el firewall corporativo.
- La Máquina Fantasma (QEMU):
- En una maniobra técnica impresionante, Microsoft observó que los atacantes intentan crear una tarea programada para lanzar una máquina virtual QEMU ligera bajo la cuenta SYSTEM al inicio.
- El objetivo: Ejecutar sus herramientas dentro de esta micro-VM para esconder su actividad del sistema operativo anfitrión y las soluciones EDR.
Robo de Credenciales y Movimiento Lateral
Una vez establecida la persistencia:
- Sideloading: Abusan del ejecutable legítimo wab.exe (Windows Address Book) para cargar una DLL maliciosa (sspicli.dll) que vuelca la memoria del proceso LSASS y roba credenciales.
- Expansión: Utilizan túneles SSH inversos y las credenciales robadas (incluyendo de Administradores de Dominio) para saltar a otros activos de alto valor en la red.
Indicadores de Compromiso (IOCs) Críticos
Si tienes SolarWinds WHD, busca esto en tus logs ahora mismo:
- Procesos java.exe o wrapper.exe (pertenecientes a SolarWinds) lanzando PowerShell.
- Uso inusual de BITSadmin descargando archivos desde internet.
- Instalaciones no autorizadas de Zoho ManageEngine o presencia de binarios de QEMU y Cloudflared.
- Tráfico saliente hacia direcciones IP asociadas con túneles de Cloudflare o servicios de control remoto no aprobados.
Recomendación
CISA ya ha ordenado a las agencias federales parchear antes del 6 de febrero. Si aún no has aplicado la actualización 2026.1, tu servidor WHD debe considerarse comprometido. Desconéctalo de internet, realiza un análisis forense buscando estas herramientas de persistencia y rota todas las credenciales de servicio y administración.
