En el verano de 2025 se hizo público que Microsoft había modificado silenciosamente el tratamiento de los accesos directos LNK en Windows, mitigando uno de los vectores de ataque más explotados en el ecosistema de la plataforma: la vulnerabilidad CVE-2025-9491. Para entonces, al menos once grupos de amenazas avanzadas y bandas criminales, entre ellas APT norcoreanas y la conocida organización Evil Corp, ya la estaban utilizando activamente. El caso es especialmente significativo porque durante meses el fabricante evitó reconocer el problema como una vulnerabilidad de pleno derecho.
Qué es CVE-2025-9491: fallo en el campo Target de los accesos directos LNK
Un archivo LNK en Windows es un acceso directo que almacena la ruta al ejecutable de destino (campo Target) y los argumentos con los que se lanzará el programa. La vulnerabilidad CVE-2025-9491 reside en cómo la interfaz de Windows muestra el contenido de ese campo.
En las propiedades del acceso directo, Windows sólo presenta los primeros 260 caracteres de la cadena Target. Cualquier contenido adicional queda oculto al usuario. Los atacantes aprovecharon esta limitación de visualización para ocultar argumentos maliciosos. Primero añadían espacios o un comando aparentemente inocuo, que quedaba dentro de la parte visible, y a continuación incorporaban parámetros peligrosos en la zona no mostrada. El usuario, al revisar las propiedades, veía una ruta “limpia” y confiaba en el archivo, pero al hacer doble clic se ejecutaba la carga maliciosa con argumentos ya preparados.
Explotación por grupos APT y ciberdelincuencia: de APT37 a Evil Corp
De acuerdo con análisis de Trend Micro, la vulnerabilidad CVE-2025-9491 era explotada por al menos 11 grupos distintos. Entre ellos se encuentran los norcoreanos APT37 y APT43 (Kimsuky), así como Mustang Panda, SideWinder, RedHotel, Konni, Bitter y la organización criminal Evil Corp. Esto evidencia que el vector resultaba atractivo tanto para amenazas patrocinadas por estados como para actores con motivación puramente económica.
En estas campañas se distribuyeron múltiples tipos de malware: el troyano bancario Ursnif, la herramienta de acceso remoto Gh0st RAT, Trickbot y otros artefactos ofrecidos bajo el modelo malware-as-a-service (MaaS). Este enfoque permite que incluso grupos con menor capacidad técnica alquilen infraestructuras y técnicas de explotación probadas, ampliando el alcance de la amenaza.
Mustang Panda y el uso de CVE-2025-9491 como 0‑day
Investigadores de Arctic Wolf y StrikeReady destacaron el papel de la agrupación china Mustang Panda, que habría utilizado este vector como 0‑day, es decir, antes de su divulgación pública. Las víctimas incluían diplomáticos europeos y organismos gubernamentales en países como Hungría y Bélgica. A través de accesos directos LNK, los atacantes desplegaban el RAT PlugX, una herramienta clásica de espionaje diseñada para mantener una presencia discreta y prolongada en las redes comprometidas.
Postura de Microsoft y controversia sobre la clasificación de la vulnerabilidad
Trend Micro notificó a Microsoft la explotación activa de CVE-2025-9491 en marzo de 2025. La compañía respondió que “consideraría” una corrección, argumentando que el escenario descrito no cumplía sus criterios para un parche de seguridad inmediato.
En noviembre, Microsoft matizó su posición señalando que el fallo no encajaba en la definición estricta de vulnerabilidad, ya que requería interacción del usuario y, en teoría, el sistema mostraba advertencias al ejecutar archivos potencialmente no confiables descargados de Internet.
Sin embargo, los investigadores subrayaron que numerosos actores combinaban este vector con otras debilidades de Windows para eludir el mecanismo Mark of the Web (MotW), que marca el origen de los ficheros descargados. En esos casos, las advertencias desaparecían y los accesos directos maliciosos se presentaban como archivos locales normales. Desde una perspectiva de gestión de riesgos, centrar la evaluación únicamente en la interacción del usuario resultaba claramente insuficiente.
Cambio silencioso en Windows y microparche de 0patch
Según Mitya Kolsek, fundador de Acros Security y cofundador de la plataforma 0patch, tras las actualizaciones de junio de 2025 Microsoft ajustó discretamente la lógica de tratamiento de archivos LNK. A partir de entonces, al abrir las propiedades de un acceso directo se mostraba la cadena Target completa, y no solo los primeros 260 caracteres. Este cambio se distribuyó de forma gradual y sin un boletín de seguridad específico.
No obstante, este ajuste no constituye un arreglo completo. Los argumentos maliciosos siguen almacenados en el acceso directo y continúan ejecutándose al lanzar el LNK, sin ninguna alerta específica ante cadenas Target inusualmente largas. La mitigación reduce parte del riesgo, pero no lo elimina, especialmente en escenarios basados en ingeniería social, donde las víctimas no revisan las propiedades del archivo.
Como respuesta adicional, Acros Security publicó un microparche para 0patch que limita de forma estricta la longitud del campo Target a 260 caracteres y alerta al usuario cuando se intenta ejecutar un acceso directo con una cadena sospechosamente extensa. Este parche no oficial, disponible para clientes PRO y Enterprise de 0patch, da soporte desde Windows 7 a Windows 11 22H2 y desde Windows Server 2008 R2 a Windows Server 2022, y se posiciona como medida temporal hasta que exista un parche oficial integral.
Riesgos prácticos y recomendaciones para defenderse de ataques con LNK
La explotación de CVE-2025-9491 ilustra cómo defectos que parecen meramente “cosméticos” en la interfaz pueden convertirse en vectores de ataque fiables. La pieza central del enfoque de los atacantes es la ingeniería social: accesos directos con iconos de documentos o aplicaciones legítimas, enviados por correo o mensajería, en ocasiones empaquetados en archivos comprimidos, que inducen al usuario a ejecutarlos sin sospechas.
Para reducir la superficie de ataque, se recomienda que organizaciones y usuarios avanzados apliquen las siguientes medidas:
- Instalar todas las actualizaciones de seguridad disponibles para Windows y aplicaciones ofimáticas, reduciendo la posibilidad de combinar este fallo con otros exploits.
- Restringir o filtrar el envío de archivos LNK por correo electrónico y plataformas de mensajería, utilizando reglas específicas en gateways y soluciones antimalware.
- Implementar Application Control / AppLocker (o herramientas equivalentes) para bloquear la ejecución de accesos directos desde carpetas temporales, directorios de descargas y recursos compartidos de red.
- Desplegar soluciones EDR capaces de detectar cadenas de ejecución anómalas originadas en archivos LNK, como lanzamientos encadenados de cmd.exe, PowerShell o herramientas de administración remota.
- Reforzar la formación de los empleados, insistiendo en los riesgos de abrir accesos directos recibidos de fuentes desconocidas o dentro de archivos comprimidos, incluso si parecen documentos de oficina.
La historia de CVE-2025-9491 pone de relieve la necesidad de una respuesta ágil por parte de los proveedores y de una comunicación transparente con la comunidad de seguridad. Mientras Microsoft no cierre de forma definitiva todas las variantes de explotación de esta anomalía en accesos directos LNK, seguirá siendo esencial un enfoque de defensa en profundidad: actualización oportuna de sistemas, políticas estrictas para tratar contenido externo y monitorización continua de la actividad en la red. Para las organizaciones, este incidente debe ser un catalizador para revisar sus procesos de gestión de vulnerabilidades y fortalecer su ciberresiliencia frente a futuras campañas basadas en ingeniería social y fallos sutiles de diseño.
