ESET ha revelado una nueva campaña de ciberespionaje vinculada a una APT de Corea del Sur en la que se explotó una nueva vulnerabilidad de ejecución remota de código (RCE) en WPS Office para Windows para implementar una puerta trasera personalizada. La campaña, cuyo origen está en el grupo APT-C-60, alineado con Seúl, estaba dirigida a víctimas en el este de Asia con la puerta trasera «SpyGlace», que está cargada con capacidades de ciberespionaje. Se persuadió a las víctimas para que hicieran clic en una hoja de cálculo de WPS Office para Windows que parecía legítima, lo que activó el exploit. WPS Office tiene cientos de millones de usuarios activos en todo el mundo, especialmente en el este de Asia, dijo ESET. El documento en sí era una exportación MHTML del formato de hoja de cálculo XLS más común, con una trampa explosiva con un hipervínculo oculto diseñado para activar la ejecución de una biblioteca arbitraria si se hacía clic en él mientras se usaba la aplicación WPS Spreadsheet. Lea más sobre las amenazas de WPS Office: el grupo de APT Blackwood, alineado con China, lanza el implante NSPX30 MHTML permite que se descargue un archivo tan pronto como se abre el documento, lo que respalda el RCE, explicó ESET. “Para explotar esta vulnerabilidad, un atacante necesitaría almacenar una biblioteca maliciosa en algún lugar accesible para la computadora atacada, ya sea en el sistema o en un recurso compartido remoto, y conocer la ruta del archivo de antemano. Los desarrolladores del exploit que apuntaban a esta vulnerabilidad conocían un par de trucos que los ayudaron a lograr esto”, explicó el investigador de ESET Romain Dumont. “Al abrir el documento de hoja de cálculo con la aplicación WPS Spreadsheet, la biblioteca remota se descarga automáticamente y se almacena en el disco”. Quien desarrolló el exploit incorporó una imagen de las filas y columnas de la hoja de cálculo para que pareciera legítima. El hipervínculo malicioso estaba vinculado a la imagen para que al hacer clic en una celda de la imagen se activara el exploit, dijo ESET. El error de día cero en cuestión (CVE-2024-7262) fue parcheado silenciosamente por el desarrollador de WPS Office, Kingsoft, según ESET. Sin embargo, los investigadores descubrieron que no habían solucionado el problema por completo y encontraron una vulnerabilidad posterior (CVE-2024-7263) que podría permitir a los piratas informáticos lograr los mismos fines mediante una validación de entrada incorrecta. ESET afirmó que DBAPPSecurity, con sede en China, publicó de forma independiente un análisis de la vulnerabilidad utilizada como arma y concluyó que APT-C-60 la explotó para distribuir malware a los usuarios en China. Crédito de la imagen: rafapress / Shutterstock.com