Los investigadores de seguridad cibernética han levantado la tapa de la explotación de los actores de amenaza de un defecto de seguridad ahora empapado en Microsoft Windows para implementar el malware Pipemagic en los ataques de ransomware Ransomexx.
Los ataques implican la explotación de CVE-2025-29824, una vulnerabilidad de escalada de privilegios que impacta el sistema de archivos de registro común de Windows (CLFS) que fue abordado por Microsoft en abril de 2025, dijeron Kaspersky y Bi.Zone en un informe conjunto publicado hoy.
Pipemagic se documentó por primera vez en 2022 como parte de los ataques de ransomware Ransomexx dirigidos a compañías industriales en el sudeste asiático, capaz de actuar como una puerta trasera completa que proporciona acceso remoto y ejecutando una amplia gama de comandos en hosts comprometidos.
En esos ataques, se ha encontrado que los actores de amenaza explotan CVE-2017-0144, una falla de ejecución de código remoto en Windows SMB, para infiltrarse en la infraestructura de víctimas. Las cadenas de infección posteriores observadas en octubre de 2024 en Arabia Saudita fueron vistos aprovechando una aplicación falsa de Operai Chatgpt como cebo para entregar el malware.
A principios de abril, Microsoft atribuyó la explotación de CVE-2025-29824 y el despliegue de Pipemagic a un actor de amenaza que rastrea como Storm-2460.
«Una característica única de Pipemagic es que genera una matriz aleatoria de 16 bytes utilizada para crear una tubería con nombre formateada como: \. Pipe 1.
Pipemagic es un malware modular basado en complementos que utiliza un dominio alojado en el proveedor de Microsoft Azure Cloud para organizar los componentes adicionales, con 2025 ataques dirigidos a Arabia Saudita y Brasil que depende de un archivo de índice de ayuda de Microsoft («metafile.mshi») como un cargador. El cargador, a su vez, desempaqueta el código C# que descifra y ejecuta ShellCode integrado.
«El código de shell-Code inyectado es un código ejecutable para sistemas de Windows de 32 bits», dijeron los investigadores. «Carga un ejecutable sin cifrar incrustado dentro del código de carcasa en sí».
Kaspersky dijo que también descubrió artefactos de cargador Pipemagic disfrazados de un cliente de ChatGPT en 2025 que son similares a los vistos anteriormente en octubre de 2024. Se ha observado que las muestras aprovechan las técnicas de secuestro de DLL para ejecutar una DLL maliciosa que imita un archivo de actualización de Google Chrome («Googleupdate.dll).
Independientemente del método de carga utilizado, todo conduce al despliegue de la puerta trasera pipemagic que admite varios módulos –
- Módulo de comunicación asincrónica que admite cinco comandos para finalizar el complemento, leer/escribir archivos, terminar una operación de archivo o finalizar todas las operaciones de archivo
- Módulo del cargador para inyectar cargas útiles adicionales en la memoria y ejecutarlas
- Módulo de inyector para iniciar un ejecutable de C#
«La detección repetida de Pipemagic en ataques contra organizaciones en Arabia Saudita y su aparición en Brasil indica que el malware permanece activo y que los atacantes continúan desarrollando su funcionalidad», dijeron los investigadores.
«Las versiones detectadas en 2025 muestran mejoras sobre la versión 2024, destinadas a persistir en los sistemas de víctimas y moverse lateralmente dentro de las redes internas. En los ataques de 2025, los atacantes usaron la herramienta Procdump, renombrada a dllhost.exe, para extraer memoria del proceso LSASS».