- Los ataques sofisticados a la cadena de suministro explotan el proceso de actualización de TrueConf
- Se instalan estructuras en ruinas para operaciones de espionaje
- La vulnerabilidad ha sido parcheada con la nueva versión 8.5.3 de TrueConf
Los gobiernos del Sudeste Asiático fueron recientemente objeto de un ataque altamente sofisticado a la cadena de suministro como parte de una operación de ciberespionaje más amplia, que los expertos creen que fue obra del gobierno chino.
Los investigadores de seguridad Check Point detallaron sus hallazgos en Operation TrueChaos, una campaña que gira en torno a una vulnerabilidad de día cero en TrueConf, una plataforma de videoconferencia y colaboración que se ejecuta en la nube o en los servidores de una empresa.
Funciona a través de un modelo cliente-servidor, a menudo dentro de una red local privada, lo que permite a las organizaciones organizar reuniones, enviar mensajes y compartir archivos sin depender de la Internet pública.
El artículo continúa a continuación.
destrucción
TrueConf es utilizado principalmente por el gobierno, la defensa y las grandes empresas que requieren un estricto control de datos y privacidad, ya que su diferenciador clave es su arquitectura local autohospedada, que mantiene todas las comunicaciones internas y seguras, combinada con tecnología de video escalable que adapta las transmisiones al dispositivo y al ancho de banda de cada usuario.
Pero la propuesta de venta única de TrueConf también fue el punto más débil de este ataque.
Cuando los usuarios ejecutan el cliente, se conecta al servidor local y busca actualizaciones; y si encuentra una discrepancia entre su versión y la del servidor, puede iniciar una actualización.
El problema surgió del hecho de que esta actualización se realizó sin comprobaciones adecuadas, lo que permitió a los actores de amenazas introducir código arbitrario a través del proceso de actualización legítimo.
Este error ahora se rastrea como CVE-2026-3502 y se le ha asignado una puntuación de gravedad de 7,8/10 (alta). “Si el actualizador ejecuta o instala la carga útil, puede ejecutar código arbitrario en el contexto del proceso de actualización o del usuario”, explicó NVD.
Esto todavía deja la cuestión de comprometer el servidor local. En su informe, Check Point no analiza este proceso, por lo que no sabemos cómo sucedió ni qué malware se utilizó para atacar este punto final.
Sin embargo, los actores de amenazas utilizan Access para impulsar Havoc, un marco de trabajo posterior a la explotación de código abierto diseñado para la formación de equipos de incursiones avanzadas y la simulación de adversarios. Proporciona capacidades modulares para operaciones sigilosas de comando y control (C2) y ofrece características como ejecución en memoria, comunicaciones cifradas y diversas técnicas de evasión.
Se culpa a los ciberespías chinos
Dado el tipo de malware desplegado en la campaña, así como la victimología, Check Point concluyó que se trataba de una campaña de espionaje. Con Havoc, los delincuentes pudieron realizar “una serie de actores prácticos de teclado centrados en la remediación, la preparación del entorno, la persistencia y la recuperación de carga útil adicional”.
No se puede determinar el número exacto de víctimas ni la industria en la que trabajan, añadió Check Point. Esto se debe principalmente a que muchas instancias de TrueConf se ejecutan localmente, en redes que no están conectadas a Internet. Aún así, los investigadores dijeron que vieron “una serie de ataques dirigidos contra agencias gubernamentales en el sur de Asia”, lo que sugiere múltiples infiltraciones.
Las tácticas, las tácticas y los procedimientos, así como la infraestructura de comando y control, apuntan a un actor de amenazas del nexo chino, concluyó el CPR, sin revelar ningún nombre.
Desde entonces, TrueConf solucionó la vulnerabilidad y lanzó un parche. Se recomienda a todos los usuarios que ejecutan la versión 8.5.2 y superiores que actualicen a la versión 8.5.3, que se lanzó en marzo de 2026.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
