Se dice que al menos dos grupos de delitos cibern\u00e9ticos diferentes Bianlian y Ransomexx explotaron un defecto de seguridad recientemente revelado en SAP Netweaver, lo que indica que los actores de amenazas m\u00faltiples est\u00e1n aprovechando el error.<\/p>\n
Firma de ciberseguridad Reliaquest, en un nueva actualizaci\u00f3n<\/a> Publicado hoy, dijo que descubri\u00f3 evidencia que sugiere la participaci\u00f3n del equipo de extorsi\u00f3n de datos de Bianlian y la familia de ransomware RansomExx, que traza Microsoft bajo la tormenta de moniker-2460.<\/p>\n Se eval\u00faa que Bianlian participa en al menos un incidente basado en enlaces de infraestructura a direcciones IP previamente identificadas como atribuidas al grupo de delitos electr\u00f3nicos.<\/p>\n “Identificamos un servidor en 184[.]174[.]96[.]74 Alojamiento de servicios de proxy inverso iniciados por el ejecutable RS64.Exe “, dijo la compa\u00f1\u00eda.” Este servidor est\u00e1 relacionado con otra IP, 184[.]174[.]96[.]70, operado por el mismo proveedor de alojamiento. La segunda IP hab\u00eda sido marcada previamente como un servidor de comando y control (C2) asociado con Bianlian, compartiendo certificados y puertos id\u00e9nticos “.<\/p>\n Reliaquest dijo que tambi\u00e9n observ\u00f3 el despliegue de un troyano basado en complementos denominado Pipemagic, que se utiliz\u00f3 m\u00e1s recientemente en relaci\u00f3n con la explotaci\u00f3n del d\u00eda cero de un error de escalada de privilegios (CVE-2025-29824) en el Sistema de archivos de registro comunes de Windows (CLF) en las entidades de ataques limitados en los EE. UU. En los Estados Unidos, Venezuela, Spain y Saudi Arabia.<\/p>\n Los ataques involucraron la entrega de Pipemagic por medio de conchas web cayeron despu\u00e9s de la explotaci\u00f3n de la falla de SAP Netweaver.<\/p>\n “Aunque el intento inicial fall\u00f3, un ataque posterior implic\u00f3 el despliegue del marco Brute Ratel C2 utilizando la ejecuci\u00f3n de tareas de MSBuild en l\u00ednea”, dijo Reliaquest. “Durante esta actividad, se gener\u00f3 un proceso dllhost.exe, se\u00f1alando la explotaci\u00f3n de la vulnerabilidad de CLFS (CVE-2025-29824), que el grupo hab\u00eda explotado previamente, siendo este un nuevo intento de explotarla a trav\u00e9s del ensamblaje en l\u00ednea”.<\/p>\n Los hallazgos se producen un d\u00eda despu\u00e9s de que Eclecticiq revel\u00f3 que m\u00faltiples grupos de pirater\u00eda chinos rastreados como UNC5221, UNC5174 y CL-STA-0048 est\u00e1n explotando activamente CVE-2025-31324 para eliminar varias cargas maliciosas.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Bianlian-y-Ransomexx-Exploit-SAP-Netweaver-Fow-para-implementar-Troyan.jpg\")
<\/a><\/center><\/div>\n