Hackers aprovechan una vulnerabilidad de día cero en el sistema de archivos de registro común para introducir ransomware.

Microsoft ha identificado una actividad maliciosa llevada a cabo por un grupo conocido como Storm-2460, que está aprovechando una vulnerabilidad de tipo "use-after-free" en el controlador del Sistema de Archivos de Registro Común de Windows. Esta vulnerabilidad, clasificada como CVE-2025-29824, permite el aumento de privilegios en los sistemas afectados y ha sido calificada con un puntaje de severidad de 7.8 sobre 10. A través de esta falla, los cibercriminales están implementando un malware denominado PipeMagic que les facilita la entrega de ransomware.

Se destaca que esta vulnerabilidad es de tipo post-compromiso, lo que significa que los atacantes ya han conseguido infiltrarse en los sistemas antes de poder explotar dicha falla. A pesar de esto, para los operadores de ransomware, la posibilidad de elevar privilegios es altamente valorada, ya que les permite transformar un acceso inicial, que pueden haber obtenido a través de malware estándar, en un acceso privilegiado. Esto es crucial para el despliegue y activación del ransomware en el entorno afectado.

El grupo Storm-2460 ha estado utilizando esta vulnerabilidad para atacar a un número reducido de organizaciones, principalmente en los sectores de tecnología de la información, finanzas y retail, con presencia en Estados Unidos, Venezuela, España y Arabia Saudita. Recientemente, se publicó un aviso de seguridad relativo a esta vulnerabilidad, y se recomienda encarecidamente a las organizaciones aplicar las actualizaciones de seguridad para minimizar el riesgo de ataques de ransomware en caso de que los actores de amenazas logren obtener un acceso inicial.