Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Türkiye Hackers explotó la salida Messenger cero día para soltar las puestas de Golang en servidores kurdos
  • Tecnología

Türkiye Hackers explotó la salida Messenger cero día para soltar las puestas de Golang en servidores kurdos

teknomers 13 de Mayıs de 2025 (Last updated: 13 de Mayıs de 2025) 5 minutes read
Türkiye Hackers explotó la salida Messenger cero día para soltar


13 de mayo de 2025Ravie LakshmananDía cero / vulnerabilidad

Un actor de amenaza afiliado a Türkiye explotó un defecto de seguridad de día cero en una plataforma de comunicación empresarial india llamada salida Messenger como parte de una campaña de ataque de espionaje cibernético desde abril de 2024.

“Estas exploits han dado como resultado una colección de datos de usuarios relacionados de los objetivos en Irak”, el equipo de inteligencia de amenazas de Microsoft dicho. “Los objetivos del ataque están asociados con el ejército kurdo que operan en Irak, de acuerdo con las prioridades de focalización de polvo mármol previamente observado”.

La actividad se ha atribuido a un grupo de amenazas que rastrea como polvo mármol (anteriormente Silicon), que también se conoce como lobo cósmico, tortuga marina, kurma verde azulado y UNC1326. Se cree que el equipo de piratería estaba activo desde al menos 2017, aunque no fue hasta dos años más tarde que Cisco Talos documentó ataques dirigidos a entidades públicas y privadas en el Medio Oriente y África del Norte.

A principios del año pasado, también se identificó como focalización de telecomunicaciones, medios de comunicación, proveedores de servicios de Internet (ISP), proveedores de servicios de tecnología de la información (TI) y sitios web kurdos en los Países Bajos.

Ciberseguridad

Microsoft ha evaluado con confianza moderada de que el actor de amenaza ha realizado algún tipo de reconocimiento de antemano para determinar si sus objetivos son usuarios de mensajería de salida y luego aprovechar el día cero para distribuir cargas útiles maliciosas y exfiltrar datos de los objetivos.

La vulnerabilidad en cuestión es CVE-2025-27920una vulnerabilidad transversal de directorio que afecta la versión 2.0.62 que permite a los atacantes remotos acceder o ejecutar archivos arbitrarios. El problema ha sido dirigido por su desarrollador Srimax a fines de diciembre de 2024 con la versión 2.0.63. La compañía, sin embargo, no menciona el defecto que se explota en la naturaleza en su asesoramiento.

La cadena de ataque comienza con el actor de amenaza que obtiene acceso a la aplicación de administrador de servidores de mensajería de salida como un usuario autenticado. Se cree que el polvo de mármol utiliza técnicas como secuestro de DNS o dominios tipográficos para interceptar las credenciales requeridas para la autenticación.

Luego se abusa del acceso para recopilar las credenciales de mensajería de salida del usuario y explotar CVE-2025-27920 para soltar cargas de pago como “Om.vbs” y “Omserverservice.vbs” al directorio de inicio del servidor y “Omserverservice.exe” al directorio de “usuarios/públicos/videos” del servidor.

En la siguiente fase, el actor de amenaza usa “omServerservice.vbs” para invocar “om.vbs” y “omServerservice.exe”, este último es una puerta trasera de Golang que contacta un dominio codificado (“API.WordInfos[.]com “) para exfiltración de datos.

“En el lado del cliente, el instalador extrae y ejecuta el archivo legítimo outputMessenger.exe y OmClientService.exe, otra puerta trasera de Golang que se conecta a un dominio de comando y control de polvo de polvo márgado”, señaló Microsoft.

“Esta puerta trasera primero realiza una verificación de conectividad a través de una solicitud GET a la API del dominio C2.WordInfos[.]com. Si tiene éxito, se envía una segunda solicitud GET al mismo C2 que contiene información del nombre de host para identificar de manera única a la víctima. La respuesta del C2 se ejecuta directamente utilizando el comando ‘cmd /c’ que instruye al símbolo del sistema de Windows a ejecutar un comando específico y luego terminar “.

Ciberseguridad

En un caso, involucraba un dispositivo de víctima con software de cliente Messenger de salida instalado para conectarse a una dirección IP previamente identificada según lo utilizado por el polvo de mármol para una probable exfiltración de datos.

El gigante tecnológico también señaló que descubrió un segundo defecto, reflejó la vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en la misma versión (CVE-2025-27921), aunque dijo que no encontró evidencia de que se armara en ataques del mundo real.

“Este nuevo ataque señala un cambio notable en la capacidad de mármol Dust mientras mantiene la consistencia en su enfoque general”, dijo Microsoft. “El uso exitoso de un exploit de día cero sugiere un aumento en la sofisticación técnica y también podría sugerir que las prioridades de orientación de polvo de mármol se han intensificado o que sus objetivos operativos se han vuelto más urgentes”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La coordenada de vacaciones perfecta acaba de llegar a los estantes de Tesco: es muy agradable que incluso los empleados lo quieran antes de que se agote
Next: La paciencia de Trump con Netanyahu se está agotando

Related Stories

Lejos de sus preceptos de antaño, Elon Musk compra una
  • Tecnología

Lejos de sus preceptos de antaño, Elon Musk compra una empresa de energías fósiles.

teknomers 19 de Temmuz de 2026
Termostatos y sensores conectados: la ARCEP vela por el cumplimiento
  • Tecnología

Termostatos y sensores conectados: la ARCEP vela por el cumplimiento de la ley que te convierte en propietario de tus datos

teknomers 19 de Temmuz de 2026
Alerta en Fortinet: piratas utilizan dos vulnerabilidades críticas en su
  • Tecnología

Alerta en Fortinet: piratas utilizan dos vulnerabilidades críticas en su herramienta de detección de amenazas

teknomers 19 de Temmuz de 2026

You May Have Missed

«No hay nada más hermoso que llevar esta camiseta»: Didier
  • Deporte

«No hay nada más hermoso que llevar esta camiseta»: Didier Deschamps se despide de la selección de Francia.

teknomers 19 de Temmuz de 2026
Lejos de sus preceptos de antaño, Elon Musk compra una
  • Tecnología

Lejos de sus preceptos de antaño, Elon Musk compra una empresa de energías fósiles.

teknomers 19 de Temmuz de 2026
Layrac. Cuatro centenarios celebrados con alegría en el Ehpad
  • salud

Layrac. Cuatro centenarios celebrados con alegría en el Ehpad

teknomers 19 de Temmuz de 2026
«Eso tiene un toque vintage»: Eva Longoria descubre el Breizh
  • Entretenimiento

«Eso tiene un toque vintage»: Eva Longoria descubre el Breizh Cola, después de la galette saucisse

teknomers 19 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.