Malware PipeMagic
Investigadores han descubierto una vulnerabilidad de seguridad, ya parcheada, en el Sistema de Archivos de Registro Común de Windows (CLFS) que se explotó activamente como un ataque de día cero. Esta falla se utilizó en campañas de ransomware dirigidas a organizaciones específicas de diversos sectores, como los sectores de TI e inmobiliario en Estados Unidos, instituciones financieras en Venezuela, una empresa española de software y comercios minoristas en Arabia Saudita.
Tabla de contenido
Comprensión de CVE-2025-29824
Identificada como CVE-2025-29824, esta vulnerabilidad es una falla de escalada de privilegios en CLFS que permite a los atacantes obtener privilegios de nivel SYSTEM. Microsoft abordó y corrigió el problema durante la actualización del martes de parches de abril de 2025. El grupo cibercriminal responsable de estos ataques, identificado como Storm-2460, implementó una cepa de malware llamada PipeMagic para explotar la vulnerabilidad de seguridad y distribuir cargas útiles de ransomware.
Cómo se desarrolló el ataque
Aunque se desconoce el método exacto de acceso inicial, los investigadores observaron que los atacantes utilizaron la utilidad cert para descargar malware de un sitio web externo comprometido. El malware, un archivo MSBuild amenazante, contenía una carga útil cifrada que, al ejecutarse, ejecutaba PipeMagic. Este troyano basado en un complemento, activo desde 2022, fue fundamental para facilitar el ataque.
Este no es el primer caso en el que PipeMagic se utiliza en exploits de día cero. Anteriormente, abusó de CVE-2025-24983, una falla de escalada de privilegios del subsistema del kernel Win32 de Windows. También se ha asociado con ataques de ransomware Nokoyawa que explotaron otra vulnerabilidad de día cero de CLFS, CVE-2023-28252. Además, expertos en ciberseguridad informaron que, en ataques anteriores atribuidos al mismo actor de amenazas, PipeMagic se implementó mediante un script de MSBuild antes de explotar la vulnerabilidad de elevación de privilegios de CLFS.
La explotación y su impacto
El ataque se dirige explícitamente a una vulnerabilidad en el controlador del kernel CLFS. Al explotar la corrupción de memoria y utilizar la API RtlSetAllBits, los atacantes sobrescriben el token del proceso de explotación con 0xFFFFFFFF, lo que les otorga privilegios completos. Esto les permite inyectar procesos inseguros en los procesos del sistema, tomando así el control del equipo infectado. Tras una explotación exitosa, los actores de amenazas extraen las credenciales del usuario mediante el volcado de memoria LSASS y el cifrado de los archivos del sistema con una extensión generada aleatoriamente. A continuación, se publica una nota de rescate que contiene un dominio TOR vinculado a la familia de ransomware RansomEXX.
Medidas de Seguridad y Defensa
A pesar de la gravedad del ataque, Windows 11, versión 24H2, no se ve afectado por esta explotación específica. Esto se debe a las restricciones de seguridad impuestas a determinadas clases de información del sistema dentro de NtQuerySystemInformation, que limitan el acceso a los usuarios con SeDebugPrivilege, permiso que normalmente solo se otorga a usuarios administrativos.
Los actores de ransomware siguen priorizando la escalada de privilegios tras una vulneración, ya que les permite transformar el acceso inicial en un control más amplio dentro de una red. Al aprovechar exploits como CVE-2025-29824, pueden escalar su alcance, obtener acceso privilegiado e implementar ransomware con un impacto devastador. Las organizaciones deben mantenerse alerta, aplicando parches de seguridad con prontitud, monitoreando la actividad inusual del sistema e implementando controles de acceso sólidos para minimizar los riesgos que representan estas ciberamenazas en constante evolución.
Video Malware PipeMagic
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
