Microsoft ha revelado que una falla de seguridad ahora parcheada que afecta al Sistema de Archivos de Registro Común de Windows (CLFS) fue explotada como un día cero en ataques de ransomware dirigidos a un pequeño número de objetivos. «Los objetivos incluyen organizaciones en los sectores de tecnología de la información (TI) y bienes raíces de los Estados Unidos, el sector financiero en Venezuela, una empresa española de software y el sector minorista en Arabia Saudita», dijo el gigante tecnológico.
Microsoft está rastreando la actividad y la explotación posterior al compromiso de CVE-2025-29824 bajo el apodo Storm-2460, y los actores de amenazas también aprovechan un malware llamado PipeMagic para entregar el exploit, así como las cargas útiles de ransomware.
A continuación, compartimos los IoC para ser agregados a las
herramientas de seguridad perimetral.
EL ATAQUE
El ataque comienza con la explotación de la vulnerabilidad CVE-2025-29824 en CLFS, lo que permite a los atacantes obtener privilegios elevados en el sistema. Una vez dentro, utilizan el troyano PipeMagic, que se despliega a través de un archivo MSBuild malicioso que contiene una carga útil cifrada. Al ejecutarse, PipeMagic establece una puerta trasera en el sistema, permitiendo el acceso remoto completo y la extracción de datos sensibles. Además, PipeMagic facilita la instalación de complementos adicionales y el lanzamiento de ataques adicionales en la red corporativa. Este malware emplea técnicas como la creación de pipes con nombres aleatorios para recibir cargas útiles codificadas y señales de control, operando en conjunto con servidores de comando y control alojados en plataformas como Microsoft Azure.
https://thehackernews.com/2025/04/pipemagic-trojan-exploits-windows-clfs.html
