Microsoft informó que observó una intrusión multietapa donde actores de amenazas explotaron instancias de SolarWinds Web Help Desk (WHD) expuestas a internet para obtener acceso inicial y luego moverse lateralmente a otros activos de alto valor. El equipo de Microsoft Defender Security Research indicó que no está claro si la actividad aprovechó vulnerabilidades recientemente divulgadas (CVE-2025-40551, CVSS 9.8; CVE-2025-40536, CVSS 8.1) o una parcheada previamente (CVE-2025-26399, CVSS 9.8).
Dado que los ataques ocurrieron en diciembre de 2025 y en máquinas vulnerables tanto a las CVEs antiguas como nuevas al mismo tiempo, no podemos confirmar de forma fiable la CVE exacta utilizada para obtener el punto de apoyo inicial.
CVE-2025-40536 es una vulnerabilidad de evasión de control de seguridad que permite a un atacante no autenticado acceder a funcionalidades restringidas, mientras que CVE-2025-40551 y CVE-2025-26399 son vulnerabilidades de deserialización de datos no confiables que pueden llevar a ejecución remota de código. La CISA agregó CVE-2025-40551 a su catálogo KEV, ordenando a las agencias FCEB aplicar parches antes del 6 de febrero de 2026.
En los ataques detectados por Microsoft, la explotación exitosa permitió ejecución remota de código no autenticada y comandos arbitrarios dentro del contexto de la aplicación WHD. Los atacantes usaron PowerShell para descargar y ejecutar cargas útiles mediante BITS, luego descargaron componentes legítimos de Zoho ManageEngine para control remoto persistente.
- Enumeraron usuarios y grupos sensibles del dominio, incluidos Administradores de Dominio.
- Establecieron persistencia mediante SSH inverso y RDP, intentando crear una tarea programada para lanzar una máquina virtual QEMU bajo la cuenta SYSTEM al inicio.
- Usaron DLL side-loading con 'wab.exe' para cargar una DLL maliciosa ('sspicli.dll') y robar credenciales de LSASS.
En al menos un caso, realizaron un ataque DCSync para obtener hashes de contraseñas. Microsoft recomienda mantener WHD actualizado, eliminar herramientas RMM no autorizadas, rotar cuentas de servicio y administrador, y aislar máquinas comprometidas.
En un informe del 8 de febrero de 2026, Huntress describió un caso de explotación de WHD donde el atacante desplegó rápidamente Zoho Meetings y túneles Cloudflare para persistencia, así como Velociraptor 0.73.4 para C2. La secuencia incluyó instalar un MSI remoto de Zoho ManageEngine, ejecutar comandos de reconocimiento de Active Directory, desplegar Velociraptor (con una vulnerabilidad de escalada de privilegios), instalar Cloudflared para túneles redundantes, y ejecutar scripts para recopilar información del sistema y enviarla a una instancia de Elastic Cloud.
El servidor URL de Velociraptor utilizó un Cloudflare Worker de la misma cuenta observada en intrusiones previas con ToolShell y ransomware Warlock, identificada por el componente compartido del subdominio: qgtxtebl.
Jamie Levy, directora de tácticas adversarias en Huntress, indicó que hay similitudes con el grupo Warlock, incluyendo herramientas y tácticas posteriores al compromiso, así como infraestructura reutilizada. La cadena de ataque también incluyó el uso de una instancia gratuita de Elastic Cloud SIEM para exfiltración, creada el 28 de enero de 2026 con un correo desechable de firstmail.ltd.
El atacante pasó unos 249 minutos entre el 28 de enero y el 4 de febrero de 2026 realizando consultas a los datos de las víctimas a través de Kibana. Las direcciones IP de origen fueron 154.26.156.181 y 51.161.152.26 (esta última asociada con campañas previas de ToolShell). La instancia de Elastic Cloud contenía unos 216 hosts víctimas de diversos sectores, incluyendo gobiernos, educación, finanzas, manufactura y TI. Elastic ha desactivado la instancia.
