Investigadores ha identificado que el actor conocido como UNC6485 está explotando una vulnerabilidad crítica (n-day tras un parche reciente) en el software de acceso y compartición de archivos Triofox de Gladinet, catalogada como CVE-2025-12480 (CVSS 9.1, Crítico). La explotación ha estado activa desde al menos el 24 de agosto de 2025.
Explotación Crítica de Triofox: Bypass de Autenticación y Ejecución SYSTEM
La vulnerabilidad permite a los atacantes eludir la autenticación, acceder a la configuración del sistema y ejecutar código con los máximos privilegios, comprometiendo gravemente la plataforma de acceso remoto de archivos de la organización.
Mecanismo de Explotación y Ataque
- Bypass de Autenticación: El atacante logra eludir la autenticación y accede a las páginas de configuración del sistema Triofox.
- Escalada de Privilegios: Una vez dentro, el atacante explota la funcionalidad de “antivirus” incluida en Triofox como vector Living Off The Land (LotL).
- Ejecución con SYSTEM: El atacante modifica la configuración del antivirus para que apunte a un script malicioso (ej., centre_report.bat). Dado que el servicio se ejecuta bajo la cuenta SYSTEM (privilegios máximos), el script se ejecuta con la máxima autoridad.
- Control Remoto Total: El script descarga e instala herramientas de control remoto legítimas, como Zoho Unified Endpoint Management System (UEMS), Zoho Assist y AnyDesk, estableciendo persistencia, control remoto y movimiento lateral (incluso agregando cuentas al grupo Domain Admins).
- Tunelización: El actor utiliza herramientas como Plink y PuTTY para crear túneles cifrados SSH (a menudo sobre el puerto 433) para permitir tráfico RDP entrante hacia hosts internos.
Por Qué el Riesgo es Máximo
- Vector de Acceso Remoto: Triofox se utiliza como puerta de entrada remota para archivos empresariales y sincronización. Su compromiso otorga acceso amplio a datos sensibles y la red interna.
- Explotación Activa: La vulnerabilidad ha sido explotada activamente en la naturaleza (por UNC6485) apenas unas semanas después de que Gladinet publicara el parche, lo que indica un alto riesgo para organizaciones que no actualizaron de inmediato.
- Compromiso Completo: El atacante logra bypass de autenticación, escalada a SYSTEM, persistencia, tunelización y movimiento lateral.
Recomendaciones
- Parcheo y Auditoría del Sistema
- Actualizar Sin Demora: Verificar y actualizar inmediatamente el software Triofox a la versión 16.7.10368.56560 o posterior.
- Auditar la Configuración del Antivirus: Revisar si la funcionalidad de “antivirus/av scanner” de Triofox ha sido modificada para apuntar a rutas inusuales o scripts sospechosos.
- Auditar Cuentas: Auditar cuentas administrativas creadas recientemente o con actividad inusual, especialmente el grupo “Cluster Admin”.
- Segmentación y Monitoreo de Red
- Aislar de Internet: Aplicar acceso por VPN, segmentación de red y restricción de puertos y servicios de administración remota al sistema Triofox.
- Detección de Túneles: Revisar logs de red para conexiones SSH entrantes sobre puertos no estándar (como 433) o túneles creados desde el sistema Triofox hacia servidores desconocidos.
- Reglas SIEM/EDR: Agregar reglas para detectar:
- Creación de cuentas “Cluster Admin” no autorizadas.
- Carga de scripts .bat o ejecutables de control remoto (AnyDesk, Zoho Assist) desde el host Triofox.
- Descargas desde la IP del atacante (84.200.80[.]252).
- Respuesta a Incidentes: Preparar un playbook que contemple el aislamiento urgente del sistema Triofox comprometido, la captura de memoria y la revisión de la configuración de antivirus modificada.
