Los investigadores de seguridad advierten que los grupos de amenazas están explotando vulnerabilidades críticas en SmarterMail, un servidor de colaboración y correo electrónico empresarial que las pequeñas y medianas empresas utilizan como alternativa a Microsoft Exchange.
Un actor de amenazas vinculado a China, rastreado como Storm 2603, ha explotado una vulnerabilidad de omisión de autenticación rastreada como CVE-2026-23760 para implementar el ransomware Warlock, según un blog publicado el lunes por investigadores de Reliaquest.
El pirata informático abusa de funciones administrativas legítimas para ocultar su actividad a los equipos de seguridad. Luego instala una herramienta forense digital llamada Velociraptor para mantener el acceso en preparación para posibles ataques de ransomware, según Reliaquest.
SmarterTools, la empresa matriz detrás de SmarterMail, confirmado en una publicación de blog del 3 de febrero que su propia red se vio afectada por una violación del 29 de enero.
La empresa tenía alrededor de 30 servidores/máquinas virtuales con SmarterMail instalado, pero una máquina virtual configurada por un empleado no se había actualizado y estaba comprometida.
Una autenticación faltante separada para una vulnerabilidad de función crítica, rastreada como CVE-2026-24423permite a un atacante no autenticado lograr la ejecución remota de código.
El Agencia de Ciberseguridad y Seguridad de Infraestructuras agregó CVE-2026-24423 a su catálogo de vulnerabilidades explotadas conocidas el 5 de febrero.
La explotación de CVE-2026-24423 ha estado en curso desde el 28 de enero, según investigadores de watchTowr. La empresa de seguridad ha visto más de 1000 intentos de 60 IP de atacantes únicas y ha identificado múltiples URL de direcciones centrales utilizadas para devoluciones de llamadas fuera de banda.
«La explotación se ha mantenido constante desde que se observó por primera vez, con una clara excepción: los fines de semana», dijo a Cybersecurity Dive Ryan Dewhurst, jefe de inteligencia proactiva de amenazas en watchTowr. «La actividad cae bruscamente y luego se recupera rápidamente al comienzo de la semana laboral».
SmarterTools dijo problemas relacionados con las vulnerabilidades. han sido abordados en la compilación 9518, lanzada en enero, y se agregaron más correcciones en la compilación 9526.
Fuente