La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves una falla de seguridad crítica que impacta el software Dassault Systèmes Delmia AprisO Manufacturing Operations Management (MOM) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basado en evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-5086, conlleva un puntaje CVSS de 9.0 de 10.0. Según Dassault, el problema impacta las versiones desde el lanzamiento 2020 hasta el lanzamiento 2025.
«Dassault Systèmes Delmia Apriso contiene una deserialización de la vulnerabilidad de datos no confiable que podría conducir a una ejecución de código remoto», dijo la agencia en un aviso.
La adición de CVE-2025-5086 al catálogo de KEV se produce después de que el Centro de tormentas de Internet informó haber visto intentos de explotación dirigidos a la falla que se originan en la dirección IP 156.244.33 (.) 162, que geoloca a México.
Los ataques implican enviar una solicitud HTTP al punto final «/apriso/webservices/flexnetoperationsservice.svc/invoke» con una carga útil codificada de Base64 que decodifica a un GZIP comprometido con Windows Ejecutable («FWITXZ01.dll»), Johannes B. Ullgrich, el Dean de la investigación de SANS Technology.
Kaspersky ha marcado el DLL como «troyan.msil.zapchast.gen», que la compañía describe como un programa malicioso diseñado para espiar electrónicamente las actividades de un usuario, incluida la captura de la entrada del teclado, la toma de capturas de pantalla y la recopilación de aplicaciones activas, entre otras.
«La información recopilada se envía al cibercriminal por varios medios, incluidos el correo electrónico, FTP y HTTP (enviando datos en una solicitud)», agregó el proveedor de seguridad cibernética rusa.
Las variantes de Zapchast, según Bitdefender y Trend Micro, se han distribuido a través de correos electrónicos de phishing con archivos adjuntos maliciosos durante más de una década. Actualmente no está claro si «Trojan.msil.zapchast.gen» es una versión mejorada del mismo malware.
A la luz de la explotación activa, se aconseja a las agencias federales de rama ejecutiva civil (FCEB) que apliquen las actualizaciones necesarias antes del 2 de octubre de 2025 para asegurar sus redes.