Expertos en ciberseguridad han revelado cómo actores maliciosos han estado explotando una vulnerabilidad recientemente corregida en Microsoft Windows para desplegar el malware PipeMagic como parte de campañas de ransomware RansomExx.

Los ataques aprovecharon CVE-2025-29824, una falla de escalamiento de privilegios en el Windows Common Log File System (CLFS), parcheada por Microsoft en abril de 2025. El análisis, publicado conjuntamente por Kaspersky y BI.ZONE, detalla los mecanismos utilizados por los atacantes para mantener acceso persistente en los sistemas comprometidos.

Antecedentes de PipeMagic

Observado por primera vez en 2022, PipeMagic funciona como un backdoor avanzado, capaz de ofrecer control remoto sobre los equipos infectados y ejecutar diversos comandos. Las primeras campañas de RansomExx apuntaban principalmente a organizaciones industriales en el sudeste asiático. En ataques anteriores, los actores explotaron CVE-2017-0144, una vulnerabilidad de ejecución remota de código en Windows SMB, para infiltrarse en las redes de las víctimas.

En algunos incidentes de octubre de 2024 en Arabia Saudita, los atacantes incluso usaron una falsa aplicación de OpenAI ChatGPT como cebo para distribuir PipeMagic. Para abril de 2025, Microsoft atribuyó la explotación de CVE-2025-29824 y el despliegue de PipeMagic a un actor de amenazas rastreado como Storm-2460.

Cómo opera PipeMagic

PipeMagic emplea un método de comunicación único. El malware genera un array aleatorio de 16 bytes para crear un pipe con nombre (por ejemplo, \\.\pipe\1.<hex string>), leyendo y destruyendo continuamente datos para transmitir cargas útiles cifradas y notificaciones. Su arquitectura modular utiliza complementos alojados en Microsoft Azure para cargar componentes adicionales.

En ataques recientes en Arabia Saudita y Brasil, se utilizó un archivo Microsoft Help Index (“metafile.mshi”) como cargador, que desempaqueta código C# que descifra y ejecuta shellcode incrustado. Este shellcode carga un ejecutable incrustado dentro de sí mismo, permitiendo al backdoor mantener control sobre el sistema comprometido.

En algunos incidentes de 2025, los cargadores de PipeMagic se disfrazaron como clientes de ChatGPT y usaron técnicas de DLL hijacking para ejecutar DLL maliciosas que imitaban archivos de actualización legítimos de Google Chrome (googleupdate.dll).

Principales módulos funcionales

El diseño modular de PipeMagic incluye:

• Módulo de comunicación asincrónica: Soporta comandos para terminar plugins, leer/escribir archivos o detener operaciones de archivos.
• Módulo cargador (Loader): Inyecta y ejecuta cargas útiles adicionales en memoria.
• Módulo inyector (Injector): Lanza ejecutables en C# en los sistemas comprometidos.

Los investigadores destacan que las versiones de 2025 de PipeMagic presentan mejoras sobre las variantes de 2024, incluyendo mayor persistencia y capacidad de movimiento lateral. Los atacantes han utilizado herramientas como ProcDump (renombrado a dllhost.exe) para extraer memoria del proceso LSASS, lo que evidencia la evolución continua y la sofisticación del malware.

Implicaciones para las organizaciones

La actividad continua de PipeMagic, especialmente en regiones como Arabia Saudita y Brasil, subraya la amenaza persistente de las campañas de RansomExx. Las organizaciones deben asegurar que sus sistemas Windows estén completamente actualizados, monitorear actividad sospechosa en pipes con nombre y aplicar detección avanzada en endpoints para prevenir movimientos laterales no autorizados y ataques basados en memoria.

Fuente: https://thehackernews.com/2025/08/microsoft-windows-vulnerability.html