SmarterTools confirmó la semana pasada que el grupo de ransomware Warlock (también conocido como Storm-2603) violó su red explotando una instancia de SmarterMail sin parchear.
El incidente ocurrió el 29 de enero de 2026, cuando un servidor de correo que no estaba actualizado a la última versión fue comprometido, según el director comercial de la empresa, Derek Curtis.
Antes de la brecha, teníamos aproximadamente 30 servidores/máquinas virtuales con SmarterMail instalados en toda nuestra red. Desafortunadamente, no sabíamos que una máquina virtual, configurada por un empleado, no se estaba actualizando. Como resultado, ese servidor de correo fue comprometido, lo que llevó a la brecha.
Sin embargo, SmarterTools enfatizó que la brecha no afectó su sitio web, carrito de compras, portal Mi Cuenta y otros servicios, y que ninguna aplicación empresarial o datos de cuentas se vieron afectados o comprometidos.
Alrededor de 12 servidores Windows en la red de oficina de la empresa, así como un centro de datos secundario utilizado para pruebas de control de calidad, se confirman afectados. Según su CEO, Tim Uzzanti, el "intento de ataque de ransomware" también afectó a clientes alojados que usaban SmarterTrack.
Los clientes alojados que usaban SmarterTrack fueron los más afectados. Esto no se debió a ningún problema dentro de SmarterTrack en sí, sino porque ese entorno era más accesible que otros una vez que violaron nuestra red.
Además, SmarterTools reconoció que el grupo Warlock esperó un par de días después de obtener acceso inicial para tomar control del servidor Active Directory y crear nuevos usuarios, seguido de la descarga de cargas útiles adicionales como Velociraptor y el locker para cifrar archivos.
Una vez que estos actores maliciosos obtienen acceso, típicamente instalan archivos y esperan aproximadamente 6-7 días antes de tomar más acciones. Esto explica por qué algunos clientes experimentaron un compromiso incluso después de actualizar: la brecha inicial ocurrió antes de la actualización, pero la actividad maliciosa se desencadenó más tarde.
Actualmente no está claro qué vulnerabilidad de SmarterMail fue utilizada por los atacantes, pero vale la pena señalar que múltiples fallos en el software de correo electrónico – CVE-2025-52691 (puntuación CVSS: 10.0), CVE-2026-23760 y CVE-2026-24423 (puntuaciones CVSS: 9.3) – han estado bajo explotación activa en la naturaleza.
CVE-2026-23760 es una falla de omisión de autenticación que podría permitir a cualquier usuario restablecer la contraseña del administrador del sistema SmarterMail enviando una solicitud HTTP especialmente diseñada. CVE-2026-24423, por otro lado, explota una debilidad en el método de API ConnectToHub para lograr ejecución remota de código no autenticada.
Las vulnerabilidades fueron solucionadas por SmarterTools en la compilación 9511. La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) confirmó que CVE-2026-24423 estaba siendo explotada en ataques de ransomware.
En un informe publicado el lunes, la empresa de ciberseguridad ReliaQuest dijo que identificó actividad probablemente vinculada a Warlock que implicaba el abuso de CVE-2026-23760 para omitir la autenticación y preparar la carga útil de ransomware en sistemas expuestos a internet. El ataque también aprovecha el acceso inicial para descargar un instalador MSI malicioso ("v4.msi") desde Supabase, una plataforma backend basada en la nube legítima, para instalar Velociraptor.
Si bien esta vulnerabilidad permite a los atacantes omitir la autenticación y restablecer contraseñas de administrador, Storm-2603 encadena este acceso con la función integrada 'Montar Volumen' del software para obtener control total del sistema. Al ingresar, el grupo instala Velociraptor, una herramienta legítima de forense digital que ha utilizado en campañas anteriores, para mantener el acceso y preparar el terreno para el ransomware.
La firma de seguridad también señaló que las dos vulnerabilidades tienen el mismo resultado neto: mientras que CVE-2026-23760 otorga acceso administrativo no autenticado a través de la API de restablecimiento de contraseña, que luego se puede combinar con la lógica de montaje para lograr ejecución de código, CVE-2026-24423 ofrece una ruta más directa a la ejecución de código a través de una ruta de API.
El hecho de que los atacantes estén utilizando el primer método es una indicación de que probablemente permite que la actividad maliciosa se mezcle con flujos de trabajo administrativos típicos, ayudándoles a evitar la detección.
Al abusar de funciones legítimas (restablecimientos de contraseña y montaje de unidades) en lugar de depender únicamente de un único primitivo de explotación 'ruidoso', los operadores pueden reducir la efectividad de las detecciones ajustadas específicamente para patrones de RCE conocidos. Este ritmo de armamentización es consistente con operadores de ransomware que analizan rápidamente las correcciones de los proveedores y desarrollan técnicas operativas poco después del lanzamiento.
Cuando se contactó a ReliaQuest para comentar sobre la actividad de ransomware Warlock dirigida a SmarterTools, la compañía dijo a The Hacker News que observó a los atacantes explotando CVE-2026-23760 en sistemas sin parchear que ejecutaban versiones anteriores a la compilación 9511 poco después de que se lanzara el parche.
Confirmamos que esta vulnerabilidad específica fue utilizada porque observamos solicitudes exitosas de restablecimiento de contraseña que contenían una entrada específica diseñada para tomar el control de la cuenta de administrador del sistema incorporada. También vimos llamadas API consistentes con la exploración de la segunda vulnerabilidad, CVE-2026-24423, durante la misma ventana. Sin embargo, la actividad exitosa de restablecimiento de contraseña confirma que CVE-2026-23760 fue el método utilizado para obtener acceso inicial.
Se recomienda a los usuarios de SmarterMail que actualicen a la última versión (compilación 9526) de inmediato para una protección óptima, y que aíslen los servidores de correo para bloquear intentos de movimiento lateral utilizados para implementar ransomware.
Actividad observada explotando CVE-2026-24423
En una declaración compartida por correo electrónico, el Jefe de Inteligencia de Amenazas de watchTowr, Ryan Dewhurst, dijo a The Hacker News que la explotación masiva de CVE-2026-24423 comenzó el 28 de enero de 2026, y que ha observado más de 1,000 intentos de explotación provenientes de aproximadamente 60 direcciones IP únicas de atacantes. La empresa de ciberseguridad dijo que también identificó múltiples URL de hubAddress utilizadas para devoluciones de llamada fuera de banda.
Este es el parámetro (POST) vulnerable que permite al actor de amenazas llamar a una dirección externa. La dirección externa del atacante luego responde con comandos arbitrarios para ejecutar. Un marcador consistente en estas solicitudes es el campo nodeName, a menudo configurado como victim-$unix_epoch. Parece ser una forma simple pero efectiva para que los atacantes etiqueten a las víctimas y vinculen las devoluciones de llamada, nada elegante, pero funciona.
Además, watchTowr señaló que la explotación se ha mantenido constantemente estable desde que se observó por primera vez, siendo los fines de semana una excepción importante.
La actividad cae bruscamente y luego se recupera rápidamente al comienzo de la semana laboral. Parece estar impulsada principalmente por operadores durante horas hábiles. De cualquier manera, la explotación está en curso, es repetible y sigue siendo predecible. Si aún no tienes parches, probablemente deberías asumir que has sido comprometido. Incluso el propio proveedor fue sorprendido con un servidor desactualizado. Si las personas que envían la corrección pueden pasarlo por alto, nadie tiene un pase libre.
SmarterTools confirma que el ataque de Warlock involucró CVE-2026-24423
Cuando se contactó para comentar, Curtis dijo a The Hacker News por correo electrónico que los actores de amenazas explotaron CVE-2026-24423 para obtener acceso a la instancia de SmarterMail.
El problema involucraba un servidor SmarterMail más antiguo en una de nuestras redes del que no sabíamos, y no había sido actualizado por nuestro departamento de TI. La vulnerabilidad específica fue CVE-2026-24423. Como se mencionó en nuestra publicación comunitaria, nuestra arquitectura de red ahora se ve muy diferente a como era antes.
