1. PoC para la explotación de CVE-2024-49112

2. Posible prohibición de productos TP-LINK en EE.UU

3. Ha vuelto Careto ¿qué hay de nuevo tras 10 años de silencio?

4. Paquete NPM malicioso disfrazado de herramienta Ethereum despliega Quasar RAT

PoC para la explotación de CVE-2024-49112

En diciembre de 2024 ya hablamos sobre la revelación de Microsoft de una vulnerabilidad RCE que afectaba a los controladores de dominio, identificada como CVE-2024-49112. El fallo recibió una puntuación CVSS de 9,8 sobre 10. A principios de 2025, los investigadores de SafeBreach Labs publicaron el primer exploit PoC sin clic para esta vulnerabilidad RCE crítica en Windows LDAP. El exploit puede bloquear servidores Windows no parcheados y no limitados a controladores de dominio, requiriendo únicamente que el servidor DNS de la víctima tenga acceso a Internet, sin ningún prerrequisito adicional.

¿Cómo podría un atacante explotar esta vulnerabilidad?

Un atacante remoto no autenticado que explote con éxito esta vulnerabilidad obtendría la capacidad de ejecutar código arbitrario dentro del contexto del servicio LDAP. Sin embargo, el éxito de la explotación depende del componente al que se dirija.

En el contexto de la explotación de una aplicación cliente LDAP, para tener éxito un atacante debe convencer o engañar a la víctima para que realice una búsqueda de controlador de dominio para el dominio del atacante o para que se conecte a un servidor LDAP malicioso. Sin embargo, las llamadas RPC no autenticadas no tendrían éxito».

Detección y Mitigación

Es vital aplicar el parche publicado por Microsoft, además, sugerimos que las organizaciones implementen detecciones para monitorizar respuestas de referencia CLDAP sospechosas (con el conjunto de valores maliciosos específicos), llamadas DsrGetDcNameEx2 sospechosas y consultas DNS SRV sospechosas.

Enlace | PoC | Parche

Posible prohibición de productos TP-LINK en EE.UU

El Gobierno estadounidense ha iniciado una investigación de seguridad nacional sobre el popular fabricante de routers TP-Link, de propiedad China, con vistas a una posible prohibición de los dispositivos de la empresa en Estados Unidos.

La investigación se produce en medio de una tensión cada vez mayor entre EE.UU. y el Gobierno chino, y tras una carta pública de miembros de la Cámara de Representantes de EE.UU. este verano en la que se alegaba que TP-Link incurría en prácticas de precios predatorios, impulsadas por motivos ocultos y posiblemente patrocinadas por China. Los funcionarios estadounidenses señalaron que TP-Link había rebajado los precios de la competencia para convertirse en líder del mercado de dispositivos de red para pequeñas oficinas y oficinas domésticas.

Debido a la fundación original de TP-Link en China, se han hecho afirmaciones sobre el llamado «libro de jugadas de Huawei», en referencia a las acusaciones de que Huawei Technologies Co. espía para el gobierno chino y de que se convirtió en un actor dominante en el sector mundial de equipos de red gracias a subvenciones estatales indebidas. Huawei y China niegan estas acusaciones.

No obstante, Estados Unidos impuso restricciones que dificultan a Huawei la venta de equipos en el país y la compra de piezas a proveedores estadounidenses. Tal vez debido a este tipo de escrutinio, TP-Link ha hecho muchos esfuerzos por distanciarse de su propiedad china. TP-Link Systems es una entidad con sede en Irvine, California, y ya no está afiliada a la china TP-Link Technologies.

Enlace

Ha vuelto Careto ¿qué hay de nuevo tras 10 años de silencio?

Mask APT es un actor de amenazas legendario que lleva realizando ataques muy sofisticados desde al menos 2007. Sus objetivos suelen ser organizaciones de alto perfil, como gobiernos, entidades diplomáticas e instituciones de investigación. Para infectarlos, The Mask (Careto) utiliza complejos implantes, a menudo entregados a través de exploits de ZeroDay. La última vez que hubo hallazgos sobre The Mask fue a principios de 2014 y, desde entonces, no hemos podido descubrir más rastros de este actor.

Sin embargo, según varias investigación reciente, dos notables grupos de ataques dirigidos han permitido identificar varios ciberataques recientes que han sido, con una confianza media a alta, llevados a cabo por The Mask. En concreto, observamos uno de estos ataques dirigido a una organización de América Latina en 2022. Aunque no tenemos ningún rastro que nos permita decir cómo se vio comprometida esta organización, hemos establecido que en el transcurso de la infección, los atacantes obtuvieron acceso a su servidor de correo electrónico MDaemon. Además, aprovecharon este servidor para mantener la persistencia dentro de la organización comprometida con la ayuda de un método único que implica un componente de correo web MDaemon llamado WorldClient.

El método de persistencia utilizado por el actor de la amenaza se basaba en que WorldClient permitía la carga de extensiones que gestionan peticiones HTTP personalizadas de los clientes al servidor de correo electrónico. Estas extensiones se pueden configurar a través del archivo C:\MDaemon\WorldClient\WorldClient.ini, que tiene el formato demostrado en la captura de pantalla siguiente

La extensión maliciosa instalada por los atacantes implementaba un conjunto de comandos asociados con el reconocimiento, la realización de interacciones con el sistema de archivos y la ejecución de cargas útiles adicionales.

Tras examinar la información disponible sobre la organización comprometida en 2022, se descubre que también fue comprometida con un ataque avanzado en 2019. Ese ataque anterior implicaba el uso de dos marcos maliciosos que denominamos «Careto2» y «Goreto».

Análisis Kaspersky | Noticia

Paquete NPM malicioso disfrazado de herramienta Ethereum despliega Quasar RAT

Investigadores de ciberseguridad han descubierto un paquete malicioso en el registro de paquetes npm que se hace pasar por una biblioteca para detectar vulnerabilidades en los contratos inteligentes de Ethereum pero que, en realidad, suelta un troyano de acceso remoto de código abierto llamado Quasar RAT en los sistemas de los desarrolladores.

El paquete fuertemente ofuscado, llamado ethereumvulncontracthandler, fue publicado en npm el 18 de diciembre de 2024 por un usuario llamado «solidit-dev-416».

“Tras su instalación, recupera un script malicioso de un servidor remoto, ejecutándolo silenciosamente para desplegar la RAT en sistemas Windows”, señaló el investigador de seguridad de Socket Kirill Boychenko en un análisis publicado el mes pasado.

El código malicioso incrustado en ethereumvulncontracthandler está oculto con múltiples capas de ofuscación, aprovechando técnicas como la codificación Base64 y XOR, así como la minificación para resistir los esfuerzos de análisis y detección.

Enlace

Ver historial de Publicaciones