Según Arctic Wolf, se sospecha que los actores de amenazas están explotando una falla de seguridad de máxima gravedad que afecta al dispositivo de administración de sistemas (SMA) Quest KACE.
La empresa de ciberseguridad dicho observó actividad maliciosa a partir de la semana del 9 de marzo de 2026 en entornos de clientes que es consistente con la explotación de CVE-2025-32975 en sistemas SMA sin parches expuestos a Internet. Actualmente no se sabe cuáles son los objetivos finales del ataque.
CVE-2025-32975 (puntuación CVSS: 10,0) se refiere a un vulnerabilidad de omisión de autenticación que permite a los atacantes hacerse pasar por usuarios legítimos sin credenciales válidas. La explotación exitosa de la falla podría facilitar la toma completa de las cuentas administrativas. Quest solucionó el problema en mayo de 2025.
En la actividad maliciosa detectada por Arctic Wolf, se cree que los actores de amenazas han utilizado la vulnerabilidad como arma para tomar el control de cuentas administrativas y ejecutar comandos remotos para eliminar cargas útiles codificadas en Base64 desde un servidor externo (216.126.225[.]156) mediante el comando curl.
Luego, los atacantes desconocidos procedieron a crear cuentas administrativas adicionales a través de «runkbot.exe«, un proceso en segundo plano asociado con el Agente SMA que se utiliza para ejecutar scripts y administrar instalaciones. También se detectaron modificaciones del Registro de Windows a través de un script de PowerShell para posibles cambios de persistencia o configuración del sistema.
Otras acciones emprendidas por los actores de amenazas se enumeran a continuación:
- Realización de recolección de credenciales utilizando Mimikatz.
- Realizar descubrimiento y reconocimiento enumerando los usuarios que han iniciado sesión y las cuentas de administrador, y ejecutando los comandos «net time» y «net group».
- Obtención de acceso del protocolo de escritorio remoto (RDP) a la infraestructura de respaldo (Veeam, Veritas) y controladores de dominio.
Para contrarrestar la amenaza, se recomienda a los administradores que apliquen las últimas actualizaciones y eviten exponer las instancias de SMA a Internet. El problema se solucionó en las versiones 13.0.385, 13.1.81, 13.2.183, 14.0.341 (parche 5) y 14.1.101 (parche 4).
