Investigadores han identificado dos vulnerabilidades de Windows que están siendo explotadas ampliamente, incluyendo una falla de día cero conocida por los atacantes desde 2017. Microsoft aún no ha parcheado la de día cero, mientras que el segundo problema crítico recibió una corrección de emergencia después de un parche inicial incompleto. Estos ataques afectan a usuarios en múltiples países e involucran amenazas persistentes avanzadas.
La primera vulnerabilidad, rastreada como CVE-2025-9491, es una de día cero en el formato binario de accesos directos de Windows que ha sido explotada desde 2017. La firma de seguridad Trend Micro la descubrió en marzo, notando su explotación por hasta 11 grupos de amenazas persistentes avanzadas (APT) en casi 60 países, con EE.UU., Canadá, Rusia y Corea más afectados. Estas APT, a menudo vinculadas a estados-nación, utilizaron la falla —inicialmente designada ZDI-CAN-25373— para desplegar varios payloads de post-explotación. Siete meses después, Microsoft no ha emitido un parche.
El jueves, Arctic Wolf reportó explotación por parte del grupo alineado con China UNC-6384 contra objetivos en varias naciones europeas. Los ataques entregan el troyano de acceso remoto PlugX, manteniendo el binario encriptado en formato RC4 hasta la etapa final. Arctic Wolf declaró: “La amplitud de los objetivos en múltiples naciones europeas dentro de un marco temporal condensado sugiere ya sea una operación de recolección de inteligencia coordinada a gran escala o el despliegue de múltiples equipos operativos paralelos con herramientas compartidas pero objetivos independientes.” La severidad de la falla se califica en 7 de 10, y los usuarios pueden mitigar riesgos restringiendo archivos .lnk de fuentes no confiables a través de las configuraciones de Windows Explorer.
La segunda vulnerabilidad, CVE-2025-59287, afecta a Windows Server Update Services (WSUS) y permite la ejecución remota de código debido a una falla de serialización. Calificada con 9.8 en severidad y potencialmente propagable como un gusano, fue abordada inicialmente en el Patch Tuesday de octubre de Microsoft, pero resultó incompleta después de que surgió código proof-of-concept público. Una actualización no programada la semana pasada proporcionó una corrección adecuada. Huntress observó explotación a partir del 23 de octubre, mientras que Sophos y Eye reportaron actividad desde el 24 de octubre en múltiples entornos de clientes en diversas industrias. Sophos señaló: “La ola de actividad, que abarcó varias horas y apuntó a servidores WSUS expuestos a internet, impactó a clientes en una gama de industrias y no pareció ser ataques dirigidos.” Sigue sin aclararse si los atacantes usaron el proof-of-concept público o desarrollaron sus propios exploits.
Se insta a los administradores a verificar vulnerabilidades y aplicar parches donde estén disponibles, aunque no existe un cronograma para CVE-2025-9491.