Mandiant Threat Defense de Google lo dijo el lunes descubierto Explotación inmediata de una falla de seguridad ahora corregida en la plataforma de acceso remoto e intercambio de archivos Triofox de Gladinet.
La vulnerabilidad crítica, rastreada como CVE-2025-12480 (puntuación CVSS: 9.1), permite a un atacante eludir la autenticación y acceder a las páginas de configuración, lo que resulta en la carga y ejecución de cargas útiles arbitrarias.
El gigante tecnológico dijo que observó un grupo de amenazas rastreado como UNC6485 que convertía la falla en un arma ya el 24 de agosto de 2025, casi un mes después de que Gladinet publicara parches para la falla en versión 16.7.10368.56560 . Vale la pena señalar que la CVE-2025-12480 es la tercera falla de Triofox que ha sido explotada activamente solo este año, después CVE-2025-30406 y CVE-2025-11371 .
«Protección adicional para las páginas de configuración inicial», según las notas de la versión del software. «Ya no se puede acceder a estas páginas después de configurar Triofox».
Mandiant dijo que el actor de amenazas utilizó como arma la vulnerabilidad de acceso no autenticado para acceder a las páginas de configuración y, a continuación, las utilizó para crear una nueva cuenta de administrador nativa, Cluster Admin, mediante la ejecución del proceso de configuración. La cuenta recién creada se utilizó posteriormente para realizar actividades de seguimiento.
«Para ejecutar el código, el atacante inició sesión con la cuenta de administrador recién creada. El atacante subió archivos maliciosos para ejecutarlos utilizando la función antivirus integrada», dijeron los investigadores de seguridad Stallone D'Souza, Praveeth DSouza, Bill Glynn, Kevin O'Flynn y Yash Gupta.
«Para configurar la función antivirus, el usuario puede proporcionar una ruta arbitraria para el antivirus seleccionado. El archivo configurado como ubicación del escáner antivirus hereda los privilegios de la cuenta del proceso principal de Triofox y se ejecuta en el contexto de la cuenta SYSTEM».
Los atacantes, según Mandiant, ejecutaron su script por lotes malicioso (» centre_report.bat «) configurando la ruta del motor antivirus para que apuntara al script. El script está diseñado para descargar un instalador del Zoho Unified Endpoint Management System (UEMS) de 84.200.80 [.] 252 y usarlo para implementar programas de acceso remoto como Zoho Assist y AnyDesk en el host.
El acceso remoto ofrecido por Zoho Assist se aprovechó para realizar un reconocimiento, seguido de intentos de cambiar las contraseñas de las cuentas existentes y añadirlas a los administradores locales y al grupo de «administradores de dominio» para aumentar los privilegios.
Para eludir la detección, los atacantes descargaron herramientas como Plink y PuTTY para configurar un túnel cifrado hacia un servidor de comando y control (C2) a través del puerto 433 a través de SSH con el objetivo final de permitir el tráfico RDP entrante.
Si bien se desconoce el objetivo final de la campaña, se recomienda a los usuarios de Triofox que se actualicen a la última versión, auditen las cuentas de administrador y comprueben que el motor antivirus de Triofox no esté configurado para ejecutar scripts o archivos binarios no autorizados.