Mandiant Threat Defense de Google dijo el lunes que descubrió una explotación de n días de una falla de seguridad ahora parcheada en la plataforma de acceso remoto y intercambio de archivos Triofox de Gladinet.
La vulnerabilidad crítica, rastreada como CVE-2025-12480 (Puntuación CVSS: 9,1), permite a un atacante eludir la autenticación y acceder a las páginas de configuración, lo que da como resultado la carga y ejecución de cargas útiles arbitrarias.
El gigante tecnológico dijo que observó un grupo de amenazas rastreado como UNC6485 que utilizaba la falla como arma ya el 24 de agosto de 2025, casi un mes después de que Gladinet lanzara parches para la falla en la versión 16.7.10368.56560. Vale la pena señalar que CVE-2025-12480 es la tercera falla en Triofox que ha sido objeto de explotación activa solo este año, después de CVE-2025-30406 y CVE-2025-11371.
«Se agregó protección para las páginas de configuración inicial», según las notas de la versión del software. «Ya no se puede acceder a estas páginas después de que se haya configurado Triofox».
Mandiant dijo que el actor de amenazas utilizó la vulnerabilidad de acceso no autenticado como arma para obtener acceso a las páginas de configuración y luego las usó para crear una nueva cuenta de administrador nativa, Cluster Admin, ejecutando el proceso de configuración. La cuenta recién creada se utilizó posteriormente para realizar actividades de seguimiento.
«Para lograr la ejecución del código, el atacante inició sesión utilizando la cuenta de administrador recién creada. El atacante cargó archivos maliciosos para ejecutarlos usando la función antivirus incorporada», dijeron los investigadores de seguridad Stallone D’Souza, Praveeth DSouza, Bill Glynn, Kevin O’Flynn y Yash Gupta.
«Para configurar la función antivirus, el usuario puede proporcionar una ruta arbitraria para el antivirus seleccionado. El archivo configurado como ubicación del escáner antivirus hereda los privilegios de la cuenta del proceso principal de Triofox, ejecutándose en el contexto de la cuenta SISTEMA».
Los atacantes, según Mandiant, ejecutaron su script por lotes malicioso («centre_report.bat») configurando la ruta del motor antivirus para que apunte al script. El script está diseñado para descargar un instalador para Zoho Unified Endpoint Management System (UEMS) desde 84.200.80(.)252 y usarlo para implementar programas de acceso remoto como Zoho Assist y AnyDesk en el host.
El acceso remoto proporcionado por Zoho Assist se aprovechó para realizar un reconocimiento, seguido de intentos de cambiar las contraseñas de las cuentas existentes y agregarlas a los administradores locales y al grupo «Administradores de dominio» para escalar privilegios.
Como forma de eludir la detección, los actores de amenazas descargaron herramientas como Plink y PuTTY para configurar un túnel cifrado a un servidor de comando y control (C2) a través del puerto 433 a través de SSH con el objetivo final de permitir el tráfico RDP entrante.
Si bien se desconoce el objetivo final de la campaña, se recomienda que los usuarios de Triofox actualicen a la última versión, auditen las cuentas de administrador y verifiquen que el motor antivirus de Triofox no esté configurado para ejecutar scripts o archivos binarios no autorizados.