SOC Prime Bias: Crítico

29 Dec 2025 09:55 UTC

Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Los actores maliciosos están explotando activamente criptografías débiles en Gladinet CentreStack y Triofox. La cadena aprovecha claves AES codificadas para recuperar el archivo web.config y luego se pasa a ataques de deserialización de ViewState. En dos incidentes observados el 15 de diciembre, PowerShell entregado a través del proceso de trabajo de IIS se utilizó para descargar y ejecutar un binario malicioso llamado conqueror.exe. La actividad está potencialmente vinculada al grupo de ransomware cl0p.

Investigación

Huntress registró que PowerShell generado por w3wp.exe invocó una carga útil codificada en base64 para obtener conqueror.exe desde 185.196.11.207. El ejecutable se guardó en C:UsersPublicconqueror.exe y se ejecutó para enumeración del host. El comportamiento posterior incluyó una solicitud curl al mismo servidor y el uso de quser.exe para listar sesiones activas. El ID de evento 1316 también capturó intentos de explotación desde 146.70.134.50 asociado con CVE-2025-30406.

Mitigación

Gladinet lanzó la versión 16.12.10420.56791, rotando claves criptográficas estáticas y corrigiendo la debilidad de deserialización de ViewState. Las organizaciones deben actualizar de inmediato y rotar los valores existentes de machineKey para invalidar la exposición previa. Revise los registros web en busca de la cadena de consulta cifrada «vghpI7EToZUDIZDdprSubL3mTZ2» para identificar sondas o explotación. Reduzca aún más el riesgo deshabilitando controladores IIS innecesarios y aplicando una estricta validación de entradas.

Respuesta

Alerta sobre PowerShell con cargas útiles base64 originadas de w3wp.exe y sobre la creación o ejecución de C:UsersPublicconqueror.exe. Aísle los hosts afectados, preserve la telemetría de IIS y del endpoint, y bloquee el tráfico saliente hacia las IPs y URLs maliciosas citadas. Verifique la integridad de web.config, rote las claves de máquina inmediatamente y realice una revisión forense de todos los sistemas CentreStack/Triofox para determinar el impacto y eliminar artefactos.

Flujo de ataque

Detecciones

Comportamiento sospechoso del servidor Microsoft IIS (via cmdline)

Equipo de SOC Prime
23 Dic 2025

Posible explotación del servidor web o aplicación web [Windows] (via cmdline)

Equipo de SOC Prime
23 Dic 2025

Archivos sospechosos en el perfil de usuario público (via file_event)

Equipo de SOC Prime
23 Dic 2025

Ejecución sospechosa desde el perfil de usuario público (via process_creation)

Equipo de SOC Prime
23 Dic 2025

Descarga o carga via Powershell (via cmdline)

Equipo de SOC Prime
23 Dic 2025

Descarga sospechosa de archivos IP directa (via proxy)

Equipo de SOC Prime
23 Dic 2025

IOCs (HashSha256) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox

Reglas de SOC Prime AI
23 Dic 2025

IOCs (SourceIP) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox

Reglas de SOC Prime AI
23 Dic 2025

IOCs (DestinationIP) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox

Reglas de SOC Prime AI
23 Dic 2025

Detección de Ejecución de PowerShell via cmd.exe con Codificación Base64 [Windows Powershell]

Reglas de SOC Prime AI
23 Dic 2025

Posible Ejecución de Código Remoto a través del Proceso de Trabajo de IIS con PowerShell [Creación de Procesos Windows]

Reglas de SOC Prime AI
23 Dic 2025

Petición GET cifrada para web.config en Gladinet CentreStack [Servidor web]

Reglas de SOC Prime AI
23 Dic 2025

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a diagnósticos erróneos.

  • Narrativa y Comandos de Ataque:

    Un atacante, habiendo identificado la instancia de Gladinet CentreStack, crea una carga cifrada que se ajusta al formato de consulta vulnerable. Usando un cliente web legítimo (por ejemplo, curl o PowerShell Invoke-WebRequest), el atacante realiza una solicitud GET al punto final oculto /storage/filesvr.dn con el token cifrado que, al ser descifrado por el servidor, resuelve en una solicitud para web.config. La solicitud es indistinguible del tráfico normal a nivel de protocolo, pero el patrón único de texto cifrado es capturado por la regla de detección.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Simular solicitud GET cifrada para web.config en Gladinet CentreStack
    # ------------------------------------------------------------
    
    # Servidor objetivo (reemplazar con hostname/IP real)
    TARGET="http://target-server.example.com"
    
    # Una de las cargas cifradas conocidas de la regla (ejemplo)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # Realizar la solicitud
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • Comandos de Limpieza:

    # No se hicieron cambios persistentes en el objetivo; solo se generó tráfico de red.
    # Si se inició una regla de firewall temporal o captura de red para la prueba, elimínela:
    
    # Ejemplo: detener tcpdump (Linux) o eliminar filtro WinPcap (Windows)
    # sudo pkill -f tcpdump