Según Arctic Wolf, se sospecha que los actores de amenazas están explotando una falla de seguridad de máxima gravedad que afecta al dispositivo de administración de sistemas (SMA) Quest KACE.

La empresa de ciberseguridad dijo observó una actividad maliciosa a partir de la semana del 9 de marzo de 2026 en los entornos de los clientes que es coherente con la explotación de CVE-2025-32975 en sistemas SMA sin parches expuestos a Internet. Actualmente no se sabe cuáles son los objetivos finales del ataque.

CVE-2025-32975 (puntuación CVSS: 10,0) se refiere a un vulnerabilidad de elusión de autenticación que permite a los atacantes hacerse pasar por usuarios legítimos sin credenciales válidas. La explotación exitosa de la falla podría facilitar la toma total de control de las cuentas administrativas. Quest solucionó el problema en mayo de 2025.

En la actividad maliciosa detectada por Arctic Wolf, se cree que los actores de amenazas utilizaron como arma la vulnerabilidad para hacerse con el control de las cuentas administrativas y ejecutar comandos remotos para eliminar cargas útiles codificadas en Base64 desde un servidor externo (216.126.225 [.] 156) mediante el comando curl.

adsense

Los atacantes desconocidos procedieron entonces a crear cuentas administrativas adicionales mediante» runkbot.exe », un proceso en segundo plano asociado al SMA Agent que se utiliza para ejecutar scripts y gestionar las instalaciones. También se detectaron modificaciones en el registro de Windows mediante un script de PowerShell por posibles cambios persistentes o en la configuración del sistema.

Otras acciones emprendidas por los actores de la amenaza se enumeran a continuación -

  • Realización de la recolección de credenciales con Mimikatz.
  • Realizar la detección y el reconocimiento enumerando los usuarios que han iniciado sesión y las cuentas de administrador y ejecutando los comandos «net time» y «net group».
  • Obtener acceso mediante protocolo de escritorio remoto (RDP) a la infraestructura de respaldo (Veeam, Veritas) y a los controladores de dominio.

Para contrarrestar la amenaza, se recomienda a los administradores que apliquen las actualizaciones más recientes y eviten exponer las instancias de SMA a Internet. Este problema se ha solucionado en las versiones 13.0.385, 13.1.81, 13.2.183, 14.0.341 (parche 5) y 14.1.101 (parche 4).

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.