Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Tabla de contenidos:
XE Group, probablemente un colectivo de hackers vinculado a Vietnam que ha estado activo en el ámbito de las amenazas cibernéticas durante más de una década, se cree que está detrás de la explotación de un par de vulnerabilidades de día cero en VeraCore. Durante la última campaña, los adversarios utilizaron las fallas de VeraCore rastreadas como CVE-2024-57968 y CVE-2025-25181 para desplegar shells reversos y web shells, asegurando un acceso remoto furtivo a las instancias objetivo y mostrando la evolución en las operaciones ofensivas del grupo.
Detectar ataques del XE Group
Con un aumento de vulnerabilidades críticas en explotación activa identificadas desde principios de 2025, los actores de amenazas están usando cada vez más nuevos exploits para comprometer sus objetivos de interés. Entre estos adversarios, el XE Group se destaca por aprovechar los días cero de VeraCore (CVE-2024-57968, CVE-2025-25181) en sus campañas más recientes.
Para detectar posibles intrusiones en las etapas más tempranas, SOC Prime Platform para la defensa cibernética colectiva proporciona un conjunto de reglas Sigma que abordan los últimos ataques del XE Group respaldados por un conjunto completo de productos para la detección y caza de amenazas avanzadas. Solo presiona el botón Explorar detecciones a continuación e inmediatamente profundiza en un conjunto de contenido dedicado.
Las reglas son compatibles con múltiples soluciones SIEM, EDR y Data Lake, mientras están mapeadas al marco MITRE ATT&CK para agilizar la investigación de amenazas. Además, cada regla se acompaña de metadatos amplios, incluidos CTI referencias, líneas de tiempo de ataques, recomendaciones de triaje y configuraciones de auditoría.
Además, los expertos en seguridad pueden buscar sin problemas IOCs proporcionados en el análisis de la actividad del XE Group por Intezer. Confía en Uncoder AI de SOC Prime para crear consultas personalizadas basadas en IOC en cuestión de segundos y trabajar automáticamente con ellas en el entorno SIEM o EDR de tu elección. Anteriormente disponible solo para clientes corporativos, Uncoder AI ahora está accesible para investigadores individuales, ofreciendo todas sus capacidades. Consulta los detalles aquí.
Análisis de Actividad del XE Group
La investigación de Intezer y Solis Security obtiene insights sobre la última actividad del XE Group, un colectivo de hackers sofisticado que se cree de origen vietnamita, notorio por atacar web shells y distribución de malware. XE Group emplea técnicas avanzadas respaldadas por una infraestructura coordinada. Los adversarios inicialmente se especializaron en el robo de datos de tarjetas de crédito, principalmente utilizando ataques a la cadena de suministro con JavaScript malicioso inyectado, web shells ASPXSPY personalizados para el acceso no autorizado y disfrazando ejecutables como archivos PNG para generar shells reversos.
A principios de la primavera de 2023, CISA emitió un aviso sobre la explotación de vulnerabilidades de Progress Telerik en varios servidores IIS de propiedad estatal de EE. UU. La alerta señalaba que varios actores, incluido el XE Group, llevaron a cabo actividades de reconocimiento y escaneo para explotar CVE-2019-18935 en el servidor IIS de la agencia que ejecuta Telerik UI for ASP.NET AJAX.
En 2024, los actores de amenazas cambiaron su enfoque a los ataques a la cadena de suministro, explotando CVEs emergentes con métodos avanzados. XE Group recientemente armó dos días cero en VeraCore, CVE-2024-57968 y CVE-2025-25181, lo que les permitió desplegar web shells para un acceso no autorizado persistente.
CVE-2024-57968, un fallo crítico de validación de subida con un puntaje CVSS de 9.9, afecta a las versiones de VeraCore anteriores a la 2024.4.2.1 al permitir a los adversarios subir archivos a directorios no deseados, exponiéndolos potencialmente al acceso de otros usuarios a través de la navegación web. CVE-2025-25181 (con un puntaje CVSS de 5.8) es un problema de inyección SQL en timeoutWarning.asp de las versiones Advantive VeraCore hasta la 2025.1.0, que permite a los hackers remotos ejecutar comandos SQL arbitrarios a través del parámetro PmSess1.
Las tácticas maliciosas más recientes del XE Group se extienden más allá de campañas a corto plazo. Por ejemplo, los actores de amenazas violaron una organización en 2020 y mantuvieron la persistencia durante años, reutilizando más tarde un web shell instalado anteriormente en 2024. Esto destaca su estrategia de ataque metódica y encubierta.
El cambio del XE Group a exploits de día cero destaca la creciente sofisticación y adaptabilidad de las técnicas de los adversarios, exigiendo estrategias de defensa rápidas y proactivas. Al confiar en SOC Prime Platform para la defensa cibernética colectiva, las organizaciones pueden adelantarse a adversarios en constante evolución, amenazas crecientes y superficies de ataque en continuo crecimiento, al tiempo que permiten una postura cibernética robusta.
