Un actor de amenaza afiliado a Türkiye explotó un defecto de seguridad de día cero en una plataforma de comunicación empresarial india llamada salida Messenger como parte de una campaña de ataque de espionaje cibernético desde abril de 2024.
“Estas exploits han dado como resultado una colección de datos de usuarios relacionados de los objetivos en Irak”, el equipo de inteligencia de amenazas de Microsoft dicho. “Los objetivos del ataque están asociados con el ejército kurdo que operan en Irak, de acuerdo con las prioridades de focalización de polvo mármol previamente observado”.
La actividad se ha atribuido a un grupo de amenazas que rastrea como polvo mármol (anteriormente Silicon), que también se conoce como lobo cósmico, tortuga marina, kurma verde azulado y UNC1326. Se cree que el equipo de piratería estaba activo desde al menos 2017, aunque no fue hasta dos años más tarde que Cisco Talos documentó ataques dirigidos a entidades públicas y privadas en el Medio Oriente y África del Norte.
A principios del año pasado, también se identificó como focalización de telecomunicaciones, medios de comunicación, proveedores de servicios de Internet (ISP), proveedores de servicios de tecnología de la información (TI) y sitios web kurdos en los Países Bajos.
Microsoft ha evaluado con confianza moderada de que el actor de amenaza ha realizado algún tipo de reconocimiento de antemano para determinar si sus objetivos son usuarios de mensajería de salida y luego aprovechar el día cero para distribuir cargas útiles maliciosas y exfiltrar datos de los objetivos.
La vulnerabilidad en cuestión es CVE-2025-27920una vulnerabilidad transversal de directorio que afecta la versión 2.0.62 que permite a los atacantes remotos acceder o ejecutar archivos arbitrarios. El problema ha sido dirigido por su desarrollador Srimax a fines de diciembre de 2024 con la versión 2.0.63. La compañía, sin embargo, no menciona el defecto que se explota en la naturaleza en su asesoramiento.
La cadena de ataque comienza con el actor de amenaza que obtiene acceso a la aplicación de administrador de servidores de mensajería de salida como un usuario autenticado. Se cree que el polvo de mármol utiliza técnicas como secuestro de DNS o dominios tipográficos para interceptar las credenciales requeridas para la autenticación.
Luego se abusa del acceso para recopilar las credenciales de mensajería de salida del usuario y explotar CVE-2025-27920 para soltar cargas de pago como “Om.vbs” y “Omserverservice.vbs” al directorio de inicio del servidor y “Omserverservice.exe” al directorio de “usuarios/públicos/videos” del servidor.
En la siguiente fase, el actor de amenaza usa “omServerservice.vbs” para invocar “om.vbs” y “omServerservice.exe”, este último es una puerta trasera de Golang que contacta un dominio codificado (“API.WordInfos[.]com “) para exfiltración de datos.
“En el lado del cliente, el instalador extrae y ejecuta el archivo legítimo outputMessenger.exe y OmClientService.exe, otra puerta trasera de Golang que se conecta a un dominio de comando y control de polvo de polvo márgado”, señaló Microsoft.
“Esta puerta trasera primero realiza una verificación de conectividad a través de una solicitud GET a la API del dominio C2.WordInfos[.]com. Si tiene éxito, se envía una segunda solicitud GET al mismo C2 que contiene información del nombre de host para identificar de manera única a la víctima. La respuesta del C2 se ejecuta directamente utilizando el comando ‘cmd /c’ que instruye al símbolo del sistema de Windows a ejecutar un comando específico y luego terminar “.
En un caso, involucraba un dispositivo de víctima con software de cliente Messenger de salida instalado para conectarse a una dirección IP previamente identificada según lo utilizado por el polvo de mármol para una probable exfiltración de datos.
El gigante tecnológico también señaló que descubrió un segundo defecto, reflejó la vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en la misma versión (CVE-2025-27921), aunque dijo que no encontró evidencia de que se armara en ataques del mundo real.
“Este nuevo ataque señala un cambio notable en la capacidad de mármol Dust mientras mantiene la consistencia en su enfoque general”, dijo Microsoft. “El uso exitoso de un exploit de día cero sugiere un aumento en la sofisticación técnica y también podría sugerir que las prioridades de orientación de polvo de mármol se han intensificado o que sus objetivos operativos se han vuelto más urgentes”.
About the Author
