Los investigadores de seguridad advierten que varios clientes empresariales se han visto comprometidos en relación con un falla crítica en la mesa de ayuda web de SolarWinds.
Huntress Labs dijo que tres clientes han sido explotados y los piratas informáticos están implementando herramientas de asistencia remota contra hosts comprometidos. según una publicación de blog publicada el domingo.
La vulnerabilidad, rastreada como CVE-2025-40551implica la deserialización de datos que no son de confianza y permite a un atacante lograr la ejecución remota de código. El martes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad añadió la falla a su Catálogo de vulnerabilidades explotadas conocidaspocos días después de que SolarWinds parcheara la vulnerabilidad.
Vientos solares emitió un aviso el 28 de enero advirtiendo sobre la falla e instó a los usuarios a actualizar a una versión parcheada. La falla fue descubierta previamente por investigadores de Horizon3.ai.
Servidor de sombras el lunes informó alrededor de 150 casos expuestos de Web Help Desk, una ligera disminución con respecto a la cifra de 170 que informó la semana pasada.
En un caso investigado por Huntress, un hacker implementó Zoho Meetings y Cloudflare para ganar persistencia y también usó una herramienta llamada Velociraptor para obtener capacidades de comando y control.
Los investigadores dijeron que los piratas informáticos utilizaron el servicio de alojamiento de archivos Catbox para configurar una herramienta de administración remota llamada Zoho ManageAgent RMM, antes de pasar a la actividad práctica con el teclado.
Los investigadores de Huntress creen que un grupo de amenazas rastreado como Storm-2603 está detrás de los ataques.
«Normalmente, este tipo de incidentes habrían llevado al ransomware Warlock, pero en este caso, parece como si los atacantes todavía estuvieran en modo de reconocimiento, ya que sus principales objetivos parecían ser recopilar información del sistema de tantas víctimas como fuera posible», Jamie Levy, director senior, tácticas adversarias, dijo a Cybersecurity Dive.
En un caso separado, investigadores de Microsoft dijeron que los piratas informáticos implementaron una herramienta de administración y monitoreo remoto llamada Zoho ManageEngine en un sistema comprometido, según un entrada de blog publicada el viernes.
Esos investigadores no pudieron vincular la actividad con CVE-2025-40551 y una falla de omisión de control de seguridad, rastreada como CVE-2025-40536o un defecto anterior, rastreado como CVE-2025-26399.
Fuente