Se ha confirmado el primer caso en el mundo real de actores de amenazas utilizando el arsenal de escalada de privilegios local (LPE) conocido como “Nightmare-Eclipse” contra un entorno empresarial en vivo. De acuerdo con la investigación de Huntress, los atacantes lograron infiltrarse inicialmente comprometiendo el acceso a una VPN SSL de FortiGate. Posteriormente, intentaron desplegar las herramientas de evasión de Microsoft Defender (BlueHammer, RedSun y UnDefend) creadas por el investigador seudónimo Chaotic Eclipse. Este incidente enciende las alarmas globales, ya que dos de estas herramientas siguen siendo vulnerabilidades Zero-Day sin parchear en sistemas Windows.
Anatomía del Ataque
El incidente demuestra una mezcla de acceso táctico de alto nivel con una ejecución operativa inexperta por parte del actor de amenazas:
- Acceso Inicial (Abuso de Credenciales VPN): El ataque comenzó el 15 de abril de 2026 con un inicio de sesión no autorizado en un firewall FortiGate de la víctima utilizando credenciales válidas. Los registros muestran que el actor se conectó desde Rusia, y luego desde Singapur y Suiza en un corto período de tiempo. Esto es un claro indicador de abuso de credenciales adquiridas a través de Initial Access Brokers (IABs) o reventa en la Dark Web.
- Despliegue del Arsenal LPE: Los atacantes procedieron a ejecutar las herramientas directamente desde directorios públicos del usuario (como Descargas o Imágenes):
- BlueHammer (FunnyApp.exe): Identificado y bloqueado por Defender (parcheado recientemente por Microsoft como CVE-2026-33825).
- RedSun y UnDefend: Ejecutados desde subcarpetas cortas ocultas (\ks\, \kk\). Evidenciaron falta de experiencia al utilizar comandos mal escritos (ej. -agressive en UnDefend). Afortunadamente, ninguno de los intentos de escalada de privilegios tuvo éxito antes de ser interceptados por el SOC.
- Túnel C2 Persistente (BeigeBurrow): El componente más peligroso y exitoso del ataque fue un binario de Windows compilado en Go denominado BeigeBurrow (ejecutado como agent.exe). Utilizando la biblioteca de multiplexación Yamux de HashiCorp, este malware estableció un relé TCP encubierto hacia la infraestructura controlada por el atacante a través del puerto 443, evadiendo las restricciones típicas del cortafuegos corporativo.
- Operación “Manos en el Teclado” (Hands-on-Keyboard): Se detectaron comandos de enumeración manual (ej. whoami /priv, cmdkey /list, net group), algunos de los cuales fueron generados de manera anómala a través del proceso legítimo M365Copilot.exe.
Impacto
Aunque en este incidente particular los atacantes fallaron en la escalada de privilegios, las implicaciones son críticas:
- Armamento Zero-Day Activo: RedSun y UnDefend explotan fallas lógicas en las operaciones de Microsoft Defender. Dado que Microsoft aún no ha parcheado estas dos herramientas, cualquier entorno Windows completamente actualizado sigue siendo vulnerable a una escalada a privilegios SYSTEM si un actor de amenazas más competente las utiliza.
- Persistencia Profunda: El éxito de BeigeBurrow demuestra la facilidad con la que los actores pueden establecer puentes C2 silenciosos incluso tras ser detectados en otras fases del ataque.
Recomendaciones y Mitigación
Los equipos de defensa deben tratar cualquier detección de estos binarios como un incidente de criticidad máxima:
- Parcheo Estructural (Prioridad Alta): Aplicar sin demora el ciclo de actualizaciones de Microsoft de abril de 2026 para neutralizar la amenaza específica de BlueHammer (CVE-2026-33825).
- Auditoría de Inicios de Sesión VPN: Revisar los registros de autenticación de las pasarelas FortiGate (y cualquier otra VPN). Implementar reglas de detección para bloqueos por “Viaje Imposible” (inicios de sesión desde diferentes países en ventanas de tiempo incompatibles con el traslado humano).
- Cacería de Amenazas (Hunting) de Artefactos LPE: Buscar de forma proactiva ejecutables anómalos (ej. FunnyApp.exe, RedSun.exe, undef.exe, z.exe) escondidos en rutas escribibles por el usuario como %USERPROFILE%\Downloads\ o %USERPROFILE%\Pictures\.
- Bloqueo de Infraestructura C2: Aislar y bloquear a nivel de red y resolución DNS el dominio malicioso asociado a BeigeBurrow: staybud.dpdns[.]org, e investigar cualquier ejecución de binarios sospechosos utilizando los parámetros -server y -hide.
