Google Threat Intelligence Group está investigando una serie de ataques vinculados a un pirata informático dirigido a una vulnerabilidad crítica en el Servicio de actualización de Windows Server, según ha sabido Cybersecurity Dive.
La actividad de amenazas ha aumentado desde la semana pasada después de una prueba de concepto de la vulnerabilidad de datos no confiables en WSUS, el servicio ampliamente utilizado para gestionar la implementación de actualizaciones de productos de Microsoft.
“Estamos investigando activamente la explotación de CVE-2025-59287 por un actor de amenazas recientemente identificado que estamos rastreando como UNC6512 en múltiples organizaciones víctimas”, dijeron los investigadores de GTIG a Cybersecurity Dive.
Después de obtener acceso inicial a los sistemas objetivo, el pirata informático realizó un reconocimiento del host comprometido y los entornos relacionados, según los investigadores. El hacker también ha extraído datos de los hosts afectados, según GTIG.
La actividad de amenaza confirma observaciones anteriores de empresas de seguridad, incluida Huntress Labs, que informó actividad de explotación en al menos cuatro entornos de clientes a fines de la semana pasada.
Microsoft emitió un parche para abordar la vulnerabilidad a principios de mes, pero la actualización del software no fue efectiva. Investigadores de HawkTrace lanzó una prueba de concepto relacionada con la vulnerabilidad.
Investigadores de Eye Security la semana pasada fueron alertados por actividad sospechosa detectado por la telemetría de respuesta y detección de endpoints y se dio cuenta de que había una amenaza activa. Pudieron replicar la prueba de concepto y advirtieron a varios socios de seguridad y agencias gubernamentales sobre el riesgo de exponer a WSUS a Internet.
Los investigadores de Eye Security creen que más de una variante apunta a la vulnerabilidad, según una comparación de los TTP con la información publicada por Huntress.
«Así que al menos dos adversarios lo están explotando desde el viernes pasado», dijo un portavoz de Eye Security a Cybersecurity Dive.
Mientras tanto, investigadores de Unidad 42 de Palo Alto Networks dijeron que han confirmado una explotación que implica el uso de comandos maliciosos de PowerShell. Se están emitiendo comandos para realizar inteligencia, mapear la estructura del dominio interno y buscar cuentas de usuarios de alto valor.
Shadowserver informó sobre 2.800 instancias que quedaron expuestas a la falla, sin embargo, los investigadores todavía estaban trabajando para determinar cuántos eran específicamente vulnerables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas y instó a los usuarios de WSUS a implementar de inmediato el parche y siga las instrucciones de mitigación de Microsoft.
CISA le dijo a Cybersecurity Dive durante el fin de semana que no había evidencia de que las agencias federales se vieran afectadas, pero instaron a las organizaciones externas a informar cualquier actividad sospechosa.
«La colaboración operativa de CISA con Microsoft y nuestras partes interesadas continúa en torno a CVE-2025-59287 para garantizar una guía de mitigación oportuna y proteger los sistemas críticos», dijo a Cybersecurity Dive Nick Andersen, subdirector ejecutivo de la División de Ciberseguridad. «La ciberseguridad no es estática: se trata de coordinación constante, respuesta rápida y acción compartida».
Fuente