La explotación masiva de la vulnerabilidad crítica CVE-2026-1731 en productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA) se ha convertido en uno de los incidentes más relevantes del panorama reciente de ciberseguridad. Al mismo tiempo, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha ampliado su catálogo de Known Exploited Vulnerabilities (KEV) con fallos activos en Microsoft, SolarWinds, Apple iOS y un sofisticado ataque a la cadena de suministro de Notepad++ vinculado al grupo Lotus Blossom.
Explotación activa de la vulnerabilidad CVE-2026-1731 en BeyondTrust
Según análisis de watchTowr, los intentos de explotación de CVE-2026-1731 “in the wild” comenzaron prácticamente de inmediato tras hacerse pública la vulnerabilidad y su código proof-of-concept (PoC). Los atacantes abusan del método get_portal_info para extraer el encabezado x-ns-company y establecer posteriormente un canal WebSocket, que sirve como punto de apoyo para fases posteriores de la intrusión.
Impacto técnico y productos afectados
CVE-2026-1731 cuenta con una puntuación CVSS de 9,9, lo que la sitúa en el rango crítico. El fallo permite a un atacante remoto no autenticado ejecutar código arbitrario mediante el envío de peticiones HTTP especialmente manipuladas. De acuerdo con BeyondTrust, una explotación exitosa otorga la capacidad de ejecutar comandos del sistema operativo con los privilegios de la cuenta del sitio web, con potencial de acceso no autorizado, exfiltración de datos y denegación de servicio interna.
Los productos afectados son BeyondTrust Remote Support y BeyondTrust Privileged Remote Access. El fabricante ha publicado actualizaciones que corrigen la vulnerabilidad e insiste en que las versiones actuales no son vulnerables a CVE-2026-1731, recomendando instalar cuanto antes los últimos releases disponibles de RS y PRA.
Escaneo masivo y respuesta de CISA
Datos de GreyNoise y Defused Cyber muestran que las tentativas de explotación comenzaron en menos de 24 horas tras aparecer el PoC, un comportamiento consistente con otras vulnerabilidades críticas del catálogo KEV. Llama la atención que un único adres IP concentra alrededor del 86 % de las sesiones de sondeo, asociado a un servicio VPN comercial alojado en Fráncfort, lo que indica una infraestructura automatizada de escaneo que ha incorporado rápidamente CVE-2026-1731 a su repertorio.
CISA añadió CVE-2026-1731 al catálogo KEV el 13 de febrero de 2026 y ordenó a las agencias federales civiles de EE. UU. corregirla antes del 16 de febrero de 2026. La inclusión en KEV implica que el fallo ya se explota activamente y que su mitigación es prioritaria para infraestructuras críticas.
Nuevas vulnerabilidades en CISA KEV: Microsoft, SolarWinds y Apple iOS
Junto a BeyondTrust, CISA ha incorporado otras vulnerabilidades con explotación confirmada, entre ellas CVE-2024-43468 en productos Microsoft, corregida en el Patch Tuesday de octubre de 2024. Aunque el parche está disponible, aún no se han hecho públicos los detalles operativos de su uso en campañas reales ni la atribución de los actores implicados.
Otra línea de ataque relevante afecta a SolarWinds Web Help Desk (WHD). Microsoft ha documentado intrusiones en varias fases donde instancias de WHD expuestas a Internet se utilizaron como vector inicial para moverse posteriormente hacia activos de mayor valor. Todavía no está claro si en estos casos se explotaron CVE-2025-40551, CVE-2025-40536 o CVE-2025-26399, ya que los servidores comprometidos eran vulnerables a múltiples fallos simultáneos.
En el ámbito móvil, destaca CVE-2026-20700 en iOS. Apple ha reconocido que la vulnerabilidad pudo haberse aprovechado en ataques “altamente sofisticados” contra un conjunto muy limitado de objetivos en versiones anteriores a iOS 26, con una posible relación con software espía comercial. La compañía ya ha publicado la corrección correspondiente.
Ataque a la cadena de suministro de Notepad++ atribuido a Lotus Blossom
Una de las campañas más delicadas es la explotación de CVE-2025-15556 en el contexto de Notepad++, vinculada por Rapid7 a la agrupación respaldada por el Estado chino Lotus Blossom (también conocida como Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon o Thrip). Los atacantes desplegaron un backdoor previamente desconocido, denominado Chrysalis, mediante una operación de cadena de suministro cuidadosamente planificada.
La infraestructura de actualización de Notepad++ habría permanecido comprometida casi cinco meses —de junio a octubre de 2025— y el incidente se dio por completamente resuelto el 2 de diciembre de 2025. De acuerdo con DomainTools Investigations, se trató de una intrusión “silenciosa y metódica”, coherente con operaciones de ciberespionaje de bajo ruido y larga permanencia.
Estrategia adversary-in-the-middle y selección de víctimas
Un rasgo clave del ataque fue que no se modificó el código fuente de Notepad++. En su lugar, los actores maliciosos trojanizaron los instaladores, eludiendo los controles habituales de revisión de código. Desde su posición en la infraestructura de actualización, no distribuyeron código malicioso de forma masiva: el tráfico de actualización se desviaba selectivamente hacia un conjunto reducido de organizaciones y perfiles de alto valor, sobre todo desarrolladores y administradores.
Investigaciones de Unit 42 (Palo Alto Networks) indican que la campaña se orientaba al robo de información a largo plazo, utilizando un enfoque adversary-in-the-middle (AitM): se interceptaban las peticiones legítimas de actualización, se generaba una “huella” de cada solicitante y se inyectaban instaladores maliciosos únicamente a objetivos priorizados. En lugar de manipular la cadena de compilación, los atacantes aprovecharon el tráfico de una aplicación legítima para convertir el mecanismo de actualización en un canal encubierto de entrega de malware.
Cómo se explota CVE-2026-1731 en entornos reales y medidas recomendadas
Investigadores de Arctic Wolf han observado ataques reales contra infraestructuras que utilizan BeyondTrust RS y PRA, donde CVE-2026-1731 se emplea como puerta de entrada para desplegar el software de monitorización remota SimpleHelp RMM con el fin de mantener persistencia y facilitar el movimiento lateral dentro de la red.
En estas intrusiones, los atacantes realizan inventario de la infraestructura mediante AdsiSearcher para consultar Active Directory y automatizan la distribución de SimpleHelp en múltiples nodos con PSExec. En etapas tempranas se detectan peticiones Impacket SMBv2 session setup, indicativas de intentos de exploración y desplazamiento a través de SMB.
Ante este escenario, las organizaciones deberían aplicar de inmediato los parches de BeyondTrust RS y PRA, actualizar Notepad++ al menos a la versión 8.9.1 (tal y como recomienda LevelBlue SpiderLabs), desactivar el autoactualizador WinGUp cuando proceda y verificar que todas las actualizaciones se descargan exclusivamente desde servidores legítimos.
Adicionalmente, es recomendable implementar vigilancia específica sobre indicadores de compromiso: sesiones WebSocket inusuales en portales BeyondTrust, aparición repentina de nuevas herramientas RMM (como SimpleHelp), uso intensivo de PSExec, actividad SMB anómala y consultas atípicas a Active Directory. La priorización de parches basada en el listado CISA KEV, junto con una segmentación estricta de la red y la aplicación del principio de mínimos privilegios, reduce de manera significativa la superficie de ataque. Mantener esta disciplina de higiene de ciberseguridad y seguir de cerca los avisos de CISA, fabricantes y equipos de respuesta es clave para anticiparse a futuras campañas y elevar de forma sostenida el nivel de protección de la organización.
