Un grupo de ciberespionaje vinculado a Corea del Sur ha estado explotando una vulnerabilidad crítica de día cero en Kingsoft WPS Office, ahora parcheada, para instalar una puerta trasera personalizada llamada SpyGlace. Según informes de la empresas de ciberseguridad ESET, el responsable de estos ataques es un grupo conocido como APT-C-60. Los ataques han afectado principalmente a usuarios en China y el este de Asia, infectándolos con malware.
La vulnerabilidad, identificada como CVE-2024-7262, tiene una alta gravedad con una puntuación CVSS de 9.3. El problema surge de la falta de validación adecuada de las rutas de archivo proporcionadas por el usuario, lo que permite a un atacante cargar una biblioteca de Windows maliciosa y ejecutar código de forma remota en los sistemas afectados.
La empresa de ciberseguridad explicó que el error permite la ejecución de código al secuestrar el flujo de control del componente promecefpluginhost.exe de WPS Office. Además, descubrieron otra vulnerabilidad que logra el mismo efecto, identificada como CVE-2024-7263, también con una alta puntuación de gravedad (CVSS: 9,3).
APT-C-60 ha diseñado un ataque que convierte esta vulnerabilidad en un exploit de un solo clic. Básicamente, se presenta como un documento de hoja de cálculo aparentemente normal, que fue subido a VirusTotal en febrero de 2024. Este archivo contiene un enlace malicioso que, al hacer clic, inicia una cadena de infección de varias etapas, terminando con la instalación del troyano SpyGlace. Este troyano, disfrazado como un archivo DLL llamado TaskControler.dll, tiene capacidades para robar archivos, cargar complementos adicionales y ejecutar comandos.
Un investigador de seguridad explicó que los creadores del exploit incrustaron una imagen de filas y columnas en la hoja de cálculo para que pareciera legítima. El enlace malicioso estaba oculto en la imagen, de modo que cuando el usuario hacía clic en una celda, se activaba el exploit.
APT-C-60 ha estado activo desde 2021, y se cree que SpyGlace comenzó a circular en junio de 2022, según el proveedor de ciberseguridad ThreatBook, con sede en Beijing.
Descripción del flujo de control del exploit
Te podrá interesar leer: Administración Automatizada de Parches con TecnetProtect
Los atacantes han estado aprovechando el controlador de protocolo ksoqing, registrado por WPS Office, para ejecutar aplicaciones externas mediante URLs especialmente diseñadas.
La segunda vulnerabilidad, identificada como CVE-2024-7263, fue descubierta mientras se analizaba el parche para la vulnerabilidad CVE-2024-7262. Al igual que la primera, esta también permite la ejecución de código a través del mismo componente, pero lo hace explotando un fallo lógico diferente.
El problema radica en cómo WPS Office maneja los argumentos de la línea de comandos, lo que permite a los atacantes eludir ciertas comprobaciones y cargar bibliotecas maliciosas sin que se verifiquen adecuadamente. Este fallo pone de relieve la importancia de aplicar parches completos que cubran todos los posibles puntos de entrada para ataques.
WPS Office es utilizado por más de 500 millones de personas en todo el mundo, lo que lo convierte en un objetivo atractivo para los cibercriminales. Estas vulnerabilidades han sido explotadas ampliamente, afectando principalmente a usuarios en el este de Asia. La forma en que APT-C-60 ha explotado estas vulnerabilidades demuestra la sofisticación y persistencia de este grupo en atacar a usuarios de esa región.
Después de que ESET descubriera estas vulnerabilidades, trabajaron con Kingsoft, la empresa detrás de WPS Office, para solucionar los problemas. Aunque se lanzó un parche para CVE-2024-7262, el análisis posterior reveló que no era completo y que aún quedaban partes del código vulnerables.
Kingsoft ha reconocido ambas vulnerabilidades y ha lanzado actualizaciones para corregirlas, instando a todos los usuarios a actualizar a la última versión del software para protegerse.
El uso de estas vulnerabilidades de día cero por parte de APT-C-60 muestra claramente los riesgos que presentan los grupos avanzados de ciberespionaje. Se recomienda que todas las personas y organizaciones que utilicen WPS Office actualicen su software lo antes posible y se mantengan alertas ante posibles intentos de phishing y documentos sospechosos.
Las versiones afectadas de WPS Office para Windows van desde la versión 12.2.0.13110, lanzada en agosto de 2023, hasta la versión parcheada 12.2.0.17119, que salió a finales de mayo de 2024.