Un actor de amenaza afiliado a T\u00fcrkiye explot\u00f3 un defecto de seguridad de d\u00eda cero en una plataforma de comunicaci\u00f3n empresarial india llamada salida Messenger como parte de una campa\u00f1a de ataque de espionaje cibern\u00e9tico desde abril de 2024.<\/p>\n
“Estas exploits han dado como resultado una colecci\u00f3n de datos de usuarios relacionados de los objetivos en Irak”, el equipo de inteligencia de amenazas de Microsoft dicho<\/a>. “Los objetivos del ataque est\u00e1n asociados con el ej\u00e9rcito kurdo que operan en Irak, de acuerdo con las prioridades de focalizaci\u00f3n de polvo m\u00e1rmol previamente observado”.<\/p>\n La actividad se ha atribuido a un grupo de amenazas que rastrea como polvo m\u00e1rmol (anteriormente Silicon), que tambi\u00e9n se conoce como lobo c\u00f3smico, tortuga marina, kurma verde azulado y UNC1326. Se cree que el equipo de pirater\u00eda estaba activo desde al menos 2017, aunque no fue hasta dos a\u00f1os m\u00e1s tarde que Cisco Talos document\u00f3 ataques dirigidos a entidades p\u00fablicas y privadas en el Medio Oriente y \u00c1frica del Norte.<\/p>\n A principios del a\u00f1o pasado, tambi\u00e9n se identific\u00f3 como focalizaci\u00f3n de telecomunicaciones, medios de comunicaci\u00f3n, proveedores de servicios de Internet (ISP), proveedores de servicios de tecnolog\u00eda de la informaci\u00f3n (TI) y sitios web kurdos en los Pa\u00edses Bajos.<\/p>\n Microsoft ha evaluado con confianza moderada de que el actor de amenaza ha realizado alg\u00fan tipo de reconocimiento de antemano para determinar si sus objetivos son usuarios de mensajer\u00eda de salida y luego aprovechar el d\u00eda cero para distribuir cargas \u00fatiles maliciosas y exfiltrar datos de los objetivos.<\/p>\n La vulnerabilidad en cuesti\u00f3n es CVE-2025-27920<\/a>una vulnerabilidad transversal de directorio que afecta la versi\u00f3n 2.0.62 que permite a los atacantes remotos acceder o ejecutar archivos arbitrarios. El problema ha sido dirigido<\/a> por su desarrollador Srimax a fines de diciembre de 2024 con la versi\u00f3n 2.0.63. La compa\u00f1\u00eda, sin embargo, no menciona el defecto que se explota en la naturaleza en su asesoramiento.<\/p>\n La cadena de ataque comienza con el actor de amenaza que obtiene acceso a la aplicaci\u00f3n de administrador de servidores de mensajer\u00eda de salida como un usuario autenticado. Se cree que el polvo de m\u00e1rmol utiliza t\u00e9cnicas como secuestro de DNS o dominios tipogr\u00e1ficos para interceptar las credenciales requeridas para la autenticaci\u00f3n.<\/p>\n Luego se abusa del acceso para recopilar las credenciales de mensajer\u00eda de salida del usuario y explotar CVE-2025-27920 para soltar cargas de pago como “Om.vbs” y “Omserverservice.vbs” al directorio de inicio del servidor y “Omserverservice.exe” al directorio de “usuarios\/p\u00fablicos\/videos” del servidor.<\/p>\n En la siguiente fase, el actor de amenaza usa “omServerservice.vbs” para invocar “om.vbs” y “omServerservice.exe”, este \u00faltimo es una puerta trasera de Golang que contacta un dominio codificado (“API.WordInfos[.]com “) para exfiltraci\u00f3n de datos.<\/p>\n “En el lado del cliente, el instalador extrae y ejecuta el archivo leg\u00edtimo outputMessenger.exe y OmClientService.exe, otra puerta trasera de Golang que se conecta a un dominio de comando y control de polvo de polvo m\u00e1rgado”, se\u00f1al\u00f3 Microsoft.<\/p>\n “Esta puerta trasera primero realiza una verificaci\u00f3n de conectividad a trav\u00e9s de una solicitud GET a la API del dominio C2.WordInfos[.]com. Si tiene \u00e9xito, se env\u00eda una segunda solicitud GET al mismo C2 que contiene informaci\u00f3n del nombre de host para identificar de manera \u00fanica a la v\u00edctima. La respuesta del C2 se ejecuta directamente utilizando el comando ‘cmd \/c’ que instruye al s\u00edmbolo del sistema de Windows a ejecutar un comando espec\u00edfico y luego terminar “.<\/p>\n En un caso, involucraba un dispositivo de v\u00edctima con software de cliente Messenger de salida instalado para conectarse a una direcci\u00f3n IP previamente identificada seg\u00fan lo utilizado por el polvo de m\u00e1rmol para una probable exfiltraci\u00f3n de datos.<\/p>\n El gigante tecnol\u00f3gico tambi\u00e9n se\u00f1al\u00f3 que descubri\u00f3 un segundo defecto, reflej\u00f3 la vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en la misma versi\u00f3n (CVE-2025-27921<\/a>), aunque dijo que no encontr\u00f3 evidencia de que se armara en ataques del mundo real.<\/p>\n “Este nuevo ataque se\u00f1ala un cambio notable en la capacidad de m\u00e1rmol Dust mientras mantiene la consistencia en su enfoque general”, dijo Microsoft. “El uso exitoso de un exploit de d\u00eda cero sugiere un aumento en la sofisticaci\u00f3n t\u00e9cnica y tambi\u00e9n podr\u00eda sugerir que las prioridades de orientaci\u00f3n de polvo de m\u00e1rmol se han intensificado o que sus objetivos operativos se han vuelto m\u00e1s urgentes”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Turkiye-Hackers-exploto-la-salida-Messenger-cero-dia-para-soltar.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n