Las amenazas cibernéticas no dejan de avanzar, y las vulnerabilidades zero-day siguen siendo de las más peligrosas. Recientemente se descubrió que al menos 11 grupos de hackers estatales de países como Corea del Norte, Irán, Rusia y China han estado explotando una vulnerabilidad en Windows desde 2017. Lo preocupante es que esta brecha ha sido utilizada en ataques de espionaje y robo de datos durante años sin que nadie lo notara.
Grupos de hackers y regiones afectadas por la vulnerabilidad ZDI-CAN-25373
Microsoft aún no ha asignado un CVE-ID a esta vulnerabilidad, pero Trend Micro la está siguiendo internamente como ZDI-CAN-25373. Este fallo permite a los atacantes ejecutar código malicioso en sistemas Windows vulnerables, lo que básicamente les da el control de la máquina afectada.
Durante la investigación, los expertos descubrieron que esta vulnerabilidad ha sido explotada en una gran cantidad de ataques, muchos de ellos llevados a cabo por grupos de hackers respaldados por estados y bandas de ciberdelincuentes. Entre los nombres mencionados están Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni y varios más.
Aunque los ataques se han extendido por todo el mundo, las principales regiones afectadas han sido América del Norte, América del Sur, Europa, Asia Oriental y Australia. Lo más alarmante es que casi el 70% de estos ataques estaban enfocados en espionaje y robo de información, mientras que solo el 20% tenía fines financieros.
Mapa de los países atacados por los ataques ZDI-CAN-25373 (Fuente: Trend Micro)
Diversos tipos de malware, como Ursnif, Gh0st RAT y Trickbot, han sido detectados en estas campañas. Además, el uso de plataformas de Malware como Servicio (MaaS) ha complicado aún más el panorama de amenazas.
Conoce más sobre: El auge del Malware como Servicio: Una Amenaza Peligrosa
La vulnerabilidad ZDI-CAN-25373 en Windows
Esta vulnerabilidad, conocida como ZDI-CAN-25373, aprovecha una debilidad en la forma en que Windows maneja los archivos de acceso directo (.lnk). Básicamente, explota un fallo en la interfaz de usuario que permite a los atacantes ocultar comandos maliciosos dentro de estos archivos sin que el usuario lo note.
Los ciberdelincuentes utilizan este truco agregando caracteres invisibles, como espacios en blanco o tabulaciones, dentro de los argumentos de la línea de comandos en el archivo .lnk. Estos caracteres pueden incluir códigos hexadecimales para:
🔹 Espacio (\x20)
🔹 Tabulación horizontal (\x09)
🔹 Salto de línea (\x0A)
🔹 Tabulación vertical (\x0B)
🔹 Alimentación de formulario (\x0C)
🔹 Retorno de carro (\x0D)
Estos espacios ocultos hacen que los comandos maliciosos pasen desapercibidos cuando el usuario inspecciona el archivo en la interfaz de Windows. Como resultado, el ataque se camufla de forma efectiva, permitiendo que el código malicioso se ejecute sin levantar sospechas.
Argumentos malintencionados que no se muestran en el campo Destino (Fuente: Trend Micro)
Para que esta vulnerabilidad se active, el usuario tiene que interactuar con el contenido malicioso, ya sea visitando una página web peligrosa o abriendo un archivo infectado.
El truco está en que los atacantes pueden manipular archivos .lnk (accesos directos de Windows) para ocultar comandos maliciosos de forma que pasen desapercibidos en la interfaz del sistema. Esto significa que, aunque el usuario inspeccione el archivo, los elementos peligrosos no serán visibles. Si el archivo se abre, el atacante puede ejecutar código con los mismos permisos que el usuario en el sistema.
Esta vulnerabilidad guarda ciertas similitudes con otra falla conocida como CVE-2024-43461, donde los atacantes utilizaron caracteres especiales (en este caso, 26 espacios en blanco braille codificados (%E2%A0%80)) para disfrazar archivos HTA que, al ser abiertos, descargaban malware disfrazado de documentos PDF.
El grupo de hackers conocido como APT Void Banshee explotó esta otra vulnerabilidad en ataques de día cero dirigidos a organizaciones en Norteamérica, Europa y el Sudeste Asiático, con el objetivo de robar información confidencial.
Podría interesarte leer: Microsoft Patch Tuesday Marzo 2025: 7 Zero-Days y 57 Fallos Corregidos
Respuesta de Microsoft y sus recomendaciones de seguridad
Un portavoz de Microsoft se pronunció tras conocerse esta vulnerabilidad, señalando que la compañía está evaluando la posibilidad de solucionarla en el futuro.
“Valoramos el trabajo de ZDI por haber informado esta falla como parte del proceso de divulgación coordinada de vulnerabilidades", explicó el representante. "Microsoft Defender ya cuenta con detecciones para identificar y bloquear este tipo de amenazas, y Smart App Control añade una capa extra de protección al bloquear archivos maliciosos descargados de Internet".
El portavoz también recomendó que los usuarios tengan precaución al descargar archivos de fuentes desconocidas y presten atención a las advertencias de seguridad del sistema, que están diseñadas para alertar sobre archivos potencialmente peligrosos.
Por último, mencionó que, aunque esta falla no cumple con los criterios de Microsoft para ser considerada una vulnerabilidad que requiera un parche inmediato, están considerando abordarla en una futura actualización del sistema.
