Hackers aprovechan falla de Windows para propagar PipeMagic

Expertos en ciberseguridad han revelado que actores maliciosos están aprovechando una vulnerabilidad recientemente corregida en Microsoft Windows con el fin de desplegar el malware PipeMagic, vinculado a campañas de ransomware RansomExx.

De acuerdo con un informe conjunto publicado hoy por Kaspersky y BI.ZONE, los atacantes han explotado la falla identificada como CVE-2025-29824, un error de escalada de privilegios en el Sistema de archivos de registro común de Windows (CLFS), solucionado por Microsoft en abril de 2025.

PipeMagic fue documentado por primera vez en 2022 durante ofensivas de RansomExx contra compañías industriales en el sudeste asiático. El malware funciona como una puerta trasera completa, ofreciendo a los atacantes acceso remoto y la capacidad de ejecutar diversos comandos en los sistemas comprometidos.

En incidentes anteriores, se observó que los operadores explotaban la vulnerabilidad CVE-2017-0144 en Windows SMB para irrumpir en infraestructuras corporativas. Posteriormente, en octubre de 2024, se detectaron nuevas campañas en Arabia Saudita que usaban como señuelo una falsa aplicación de ChatGPT para propagar el malware.

Microsoft atribuyó en abril de 2025 la explotación de CVE-2025-29824 y la instalación de PipeMagic a un grupo de amenazas rastreado bajo el nombre Storm-2460.

Según los investigadores, una de las características singulares de PipeMagic es la generación de una matriz aleatoria de 16 bytes, utilizada para crear una tubería nombrada en formato \\.\pipe\1.<cadena_hexadecimal>. Posteriormente, un hilo se encarga de construir y destruir de forma constante esta tubería, lo que permite transmitir cargas útiles y notificaciones cifradas entre el malware y los atacantes.

PipeMagic posee una arquitectura modular basada en plugins. Emplea infraestructura de Microsoft Azure para descargar componentes adicionales y, en los ataques más recientes en Arabia Saudita y Brasil, se distribuyó mediante un archivo de índice de ayuda de Microsoft (“metafile.mshi”) como cargador. Este descifra y ejecuta un shellcode incrustado en C#, capaz de desplegar ejecutables sin cifrar en sistemas Windows de 32 bits.

Kaspersky también identificó rastros de cargadores de PipeMagic disfrazados de clientes falsos de ChatGPT en 2025, similares a los detectados meses antes. Asimismo, se observaron técnicas de DLL hijacking, en las que una librería maliciosa imitaba un archivo legítimo de actualización de Google Chrome (“googleupdate.dll”).

Independientemente de la vía de infección, el resultado final es la instalación de la puerta trasera PipeMagic, la cual incluye varios módulos especializados:

Un módulo de comunicación asíncrona con cinco comandos para manipular archivos.
Un módulo cargador para ejecutar cargas adicionales en memoria.
Un módulo inyector para lanzar ejecutables de C#.

Los expertos señalan que la reiterada detección de PipeMagic en organizaciones de Arabia Saudita y su aparición en Brasil demuestran que el malware sigue activo y en constante evolución.

Las muestras analizadas en 2025 presentan mejoras respecto a las versiones de 2024, enfocadas en reforzar la persistencia en los sistemas y facilitar la propagación lateral dentro de las redes corporativas. En estas campañas recientes, los atacantes habrían utilizado la herramienta ProcDump, renombrada como dllhost.exe, para extraer información de la memoria del proceso LSASS.

https://thehackernews[.]com

You May Also Like

Hackers rusos emplean el malware ‘WINELOADER’ para atacar partidos políticos alemanes

Seis gobiernos usan el software espía Paragon para hackear aplicaciones de mensajería.

CVE-2023-27997 es explotable y el 69% de los firewalls FortiGate son vulnerables