Una falla de seguridad sin parchear que afecta a Microsoft Windows ha sido explotada por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia como parte de un robo de datos, espionaje y campañas con motivaciones financieras que se remontan a 2017.

La vulnerabilidad de día cero, rastreada por Zero Day Initiative (ZDI) de Trend Micro como ZDI-CAN-25373 , se refiere a un problema que permite a los actores maliciosos ejecutar comandos maliciosos ocultos en la máquina de una víctima aprovechando archivos de acceso directo de Windows o enlace de Shell (.LNK) creados.

"Los ataques aprovechan argumentos ocultos de la línea de comandos dentro de archivos .LNK para ejecutar cargas maliciosas, lo que dificulta la detección", afirmaron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en un análisis compartido con The Hacker News. "La explotación de ZDI-CAN-25373 expone a las organizaciones a riesgos significativos de robo de datos y ciberespionaje".

Específicamente, esto implica rellenar los argumentos con caracteres de avance de línea (\x0A) y retorno de carro (\x0D) para evadir la detección.

Hasta la fecha, se han descubierto casi 1000 artefactos de archivos .LNK que explotan ZDI-CAN-25373, y la mayoría de las muestras están vinculadas a Evil Corp (Agua Asena), Kimsuky (Tierra Kumiho), Konni (Tierra Imp), Bitter (Tierra Anansi) y ScarCruft (Tierra Manticore).

De los 11 actores de amenazas estatales que se han descubierto aprovechando la vulnerabilidad, casi la mitad provienen de Corea del Norte. Además de explotar la vulnerabilidad en diversas ocasiones, el hallazgo indica una colaboración cruzada entre los diferentes grupos de amenazas que operan dentro del aparato cibernético de Pyongyang.

Los datos de telemetría indican que gobiernos, entidades privadas, organizaciones financieras, grupos de expertos, proveedores de servicios de telecomunicaciones y agencias militares y de defensa ubicadas en Estados Unidos, Canadá, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los principales objetivos de ataques que explotan la vulnerabilidad.

En los ataques analizados por ZDI, los archivos .LNK actúan como vehículo de distribución para familias de malware conocidas como Lumma Stealer, GuLoader y Remcos RAT, entre otras. Entre estas campañas destaca la explotación de ZDI-CAN-25373 por parte de Evil Corp para distribuir Raspberry Robin.

Microsoft, por su parte, ha clasificado el problema como de baja gravedad y no tiene previsto lanzar una solución.

"ZDI-CAN-25373 es un ejemplo de tergiversación de información crítica en la interfaz de usuario (IU) (CWE-451)", afirmaron los investigadores. "Esto significa que la IU de Windows no presentó al usuario información crítica".

Al explotar ZDI-CAN-25373, el actor de amenazas puede impedir que el usuario final vea información crítica (comandos en ejecución) relacionada con la evaluación del nivel de riesgo del archivo.

Fuente: https://thehackernews.com/2025/03/unpatched-windows-zero-day-flaw.html