Investigadores de Trend Micro Zero Day Initiative (ZDI) han revelado una grave vulnerabilidad de día cero en Windows que está siendo activamente explotada por al menos 11 grupos de hackers vinculados a gobiernos. La vulnerabilidad, identificada como ZDI-CAN-25373, permite a los atacantes ejecutar código malicioso de forma sigilosa, mientras Microsoft se mantiene reticente a publicar un parche de seguridad inmediato.

Impacto y Alcance de la Amenaza

Los expertos han documentado aproximadamente mil archivos Shell Link (.lnk) maliciosos que aprovechan esta vulnerabilidad. Las investigaciones revelan que el 70% de los ataques están orientados al ciberespionaje y la sustracción de información sensible, con objetivos distribuidos en América, Europa, Asia Oriental y Australia. La magnitud de la amenaza se amplifica por la diversidad de actores involucrados y su sofisticado nivel de operación.

Análisis Técnico de la Vulnerabilidad

La vulnerabilidad ZDI-CAN-25373 se clasifica como un fallo de distorsión de información crítica en la interfaz de usuario (CWE-451). Los atacantes manipulan caracteres especiales de espacio en la estructura COMMAND_LINE_ARGUMENTS de los archivos .lnk para ocultar código malicioso, permitiendo la ejecución de comandos arbitrarios sin alertar al usuario.

Métodos de Explotación

La técnica de ataque involucra el uso ingenioso de diferentes tipos de caracteres de espacio, incluyendo representaciones hexadecimales como \x20 (espacio) y \x09 (tabulación). Esta metodología hace que los argumentos maliciosos de la línea de comandos sean prácticamente invisibles en la interfaz de Windows, dificultando significativamente su detección.

Grupos APT Identificados

Entre los grupos APT que están explotando activamente esta vulnerabilidad se encuentran Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder y RedHotel. Estos actores utilizan diversos malware como Ursnif, Gh0st RAT y Trickbot para comprometer los sistemas objetivo.

Aunque Microsoft afirma que Windows Defender y Smart App Control pueden detectar y bloquear estos ataques, la comunidad de seguridad recomienda implementar medidas adicionales de protección. Los usuarios deben extremar precauciones al manejar archivos de fuentes desconocidas, mantener sus sistemas actualizados y considerar la implementación de soluciones de seguridad adicionales hasta que se publique un parche oficial. La monitorización activa de actividades sospechosas y la implementación de políticas de seguridad robustas son cruciales para mitigar esta amenaza.