Una falla de seguridad de alta gravedad en el software de videoconferencia del cliente TrueConf ha sido explotada como un día cero como parte de una campaña dirigida a entidades gubernamentales en el sudeste asiático denominada Verdadero Caos.
La vulnerabilidad en cuestión es CVE-2026-3502 (puntuación CVSS: 7,8), una falta de verificación de integridad al recuperar el código de actualización de la aplicación, lo que permite a un atacante distribuir una actualización manipulada, lo que resulta en la ejecución de código arbitrario. Se ha parcheado en el cliente TrueConf de Windows a partir de la versión 8.5.3, lanzada a principios de este mes.
«La falla surge del abuso del mecanismo de validación del actualizador de TrueConf, lo que permite a un atacante que controla el servidor TrueConf local distribuir y ejecutar archivos arbitrarios en todos los puntos finales conectados», dijo Check Point en un informe publicado hoy.
En otras palabras, un atacante que logra hacerse con el control del servidor TrueConf local puede sustituir el paquete de actualización por una versión envenenada, que luego es extraída por la aplicación cliente instalada en los terminales de los clientes, debido al hecho de que no aplica una validación adecuada para garantizar que la actualización proporcionada por el servidor no haya sido manipulada.
Se ha descubierto que la campaña TrueChaos utiliza esta falla en el mecanismo de actualización como arma para probablemente implementar el marco de comando y control (C2) de código abierto Havoc en puntos finales vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenaza del nexo chino.
Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza implícita que el cliente deposita en el mecanismo de actualización se utilizó como arma para impulsar un instalador fraudulento que, a su vez, aprovecha la carga lateral de DLL para lanzar una puerta trasera de DLL.
También se ha observado que el implante DLL («7z-x64.dll») realiza acciones prácticas en el teclado para realizar reconocimiento, configurar la persistencia y recuperar cargas útiles adicionales («iscsiexe.dll») de un servidor FTP («47.237.15(.)197»). El objetivo principal de «iscsiexe.dll» es garantizar la ejecución de un binario benigno («poweriso.exe») que se coloca para cargar la puerta trasera.
Aunque no está claro cuál es el malware exacto de la etapa final entregado como parte del ataque, se evalúa con alta confianza que el objetivo final es implementar el implante Havoc.
Los vínculos de TrueChaos con un actor de amenazas del nexo chino se basan en las tácticas observadas, como el uso de carga lateral de DLL, Alibaba Cloud y Tencent para la infraestructura C2, y el hecho de que la misma víctima fue atacada en el mismo período de tiempo por ShadowPad, una sofisticada puerta trasera ampliamente utilizada por grupos de hackers vinculados a China.
Además de eso, el uso de Havoc se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y policiales en todo el sudeste asiático en 2025.
«La explotación de CVE-2026-3502 no requirió que el atacante comprometiera cada punto final individualmente», dijo Check Point. «En cambio, el atacante abusó de la relación de confianza entre un servidor central TrueConf local y sus clientes. Al reemplazar una actualización legítima por una maliciosa, convirtieron el flujo de actualización normal del producto en un canal de distribución de malware a través de múltiples redes gubernamentales conectadas».