Una reciente campaña de ciberespionaje ha puesto en evidencia la creciente sofisticación de actores estatales respaldados por Türkiye. El grupo conocido como Marbled Dust, también rastreado como Sea Turtle, SILICON o UNC1326, ha sido identificado como el responsable de una serie de ataques dirigidos contra usuarios de Output Messenger, particularmente aquellos vinculados al ejército kurdo en Irak. Esta ofensiva se llevó a cabo mediante la explotación de una vulnerabilidad de día cero crítica que comprometía la seguridad de esta herramienta de mensajería LAN ampliamente utilizada en entornos corporativos y gubernamentales.
La vulnerabilidad CVE-2025-27920: una puerta de entrada crítica
Los analistas de inteligencia de amenazas de Microsoft Threat Intelligence no solo identificaron los ataques, sino que también descubrieron la falla de seguridad utilizada: CVE-2025-27920, una vulnerabilidad de cruce de directorios en Output Messenger Server Manager. Esta falla permite a atacantes autenticados acceder a archivos fuera del directorio previsto, lo que facilita la exposición de configuraciones sensibles, credenciales, archivos confidenciales e incluso el despliegue de cargas maliciosas en el entorno del servidor.
Según un aviso de seguridad publicado por Srimax, la empresa desarrolladora de Output Messenger, esta vulnerabilidad fue corregida en diciembre de 2024 con el lanzamiento de la versión V2.0.63. Sin embargo, los atacantes aprovecharon que muchos usuarios aún no habían actualizado sus sistemas, lo que les permitió infiltrarse con éxito en múltiples organizaciones.
“Los atacantes podrían acceder a archivos como archivos de configuración, datos confidenciales del usuario o incluso código fuente, y dependiendo del contenido del archivo, esto podría conducir a una mayor explotación, incluida la ejecución remota de código”, advirtió Srimax.
Ataques dirigidos y robo de datos confidenciales
Tras comprometer el servidor, Marbled Dust desplegó una puerta trasera personalizada denominada OMServerService.exe, diseñada para establecer comunicación con un dominio de comando y control (C2) bajo su control:
1 | api.wordinfos[.]com |
. Esta puerta trasera permitió a los atacantes recopilar información adicional del sistema infectado, identificar a la víctima y facilitar la exfiltración de datos sensibles.
En al menos un caso documentado por Microsoft, el cliente Output Messenger instalado en el dispositivo de una víctima se conectó a una dirección IP controlada por Marbled Dust poco después de que el malware recibiera la orden de recopilar y empaquetar archivos en un archivo RAR. Este comportamiento indica un proceso automatizado de extracción de datos, que pone en riesgo no solo la privacidad, sino también la integridad operativa de las organizaciones afectadas.
Técnicas avanzadas de acceso y persistencia
Si bien no está completamente claro cómo Marbled Dust obtuvo autenticación para acceder a los servidores en todos los casos, Microsoft sugiere que el grupo probablemente recurrió a técnicas como el secuestro de DNS y el uso de dominios con errores tipográficos para capturar y reutilizar credenciales de acceso.
Estas técnicas han sido utilizadas anteriormente por el grupo y forman parte de su repertorio habitual de herramientas para establecer presencia dentro de las redes objetivo. Una vez dentro, los atacantes son capaces de suplantar usuarios, acceder a sistemas internos, interceptar comunicaciones privadas y provocar interrupciones operativas significativas.
Objetivos geopolíticos y expansión regional
Marbled Dust ha enfocado históricamente sus operaciones en regiones estratégicas como Europa y Oriente Medio, con un especial interés en entidades que se oponen al gobierno turco. Entre sus objetivos frecuentes se incluyen:
-
Empresas de telecomunicaciones
-
Proveedores de tecnología de la información
-
Gobiernos regionales
-
Organizaciones kurdas y activistas
En esta última campaña, la atención se centró en los usuarios de Output Messenger asociados con el ejército kurdo en Irak, lo que sugiere un componente geopolítico en la selección de objetivos.
Explotación de infraestructuras y manipulación de DNS
Uno de los aspectos más preocupantes de la actividad de Marbled Dust es su capacidad para comprometer registros DNS en redes gubernamentales, lo que les permite modificar configuraciones críticas y redirigir el tráfico hacia servidores maliciosos. Esta táctica permite interceptar comunicaciones y robar credenciales en ataques tipo man-in-the-middle (MitM), afectando tanto a la confidencialidad como a la disponibilidad de los sistemas.
“Este nuevo ataque señala un cambio notable en la capacidad de Marbled Dust, al tiempo que mantiene la consistencia en su enfoque general”, indicó Microsoft. “El uso exitoso de un exploit de día cero sugiere un aumento en la sofisticación técnica y también podría sugerir que sus objetivos operativos se han vuelto más urgentes”.
Historial de campañas: espionaje en los Países Bajos y más allá
No es la primera vez que este grupo utiliza técnicas avanzadas de ciberespionaje. Entre 2021 y 2023, Marbled Dust estuvo vinculado a múltiples campañas dirigidas a organizaciones en los Países Bajos, especialmente empresas de telecomunicaciones, ISP y sitios web kurdos. Su capacidad para adaptarse a nuevas herramientas y explotar vulnerabilidades no divulgadas demuestra una evolución constante en su estrategia de ataque.
Recomendaciones para organizaciones
Dado el nivel de sofisticación de Marbled Dust, las organizaciones deben adoptar medidas de seguridad proactivas, entre ellas:
-
Actualización inmediata a la última versión de Output Messenger
-
Monitoreo de tráfico DNS para detectar manipulaciones
-
Revisión periódica de archivos de configuración y accesos inusuales
-
Implementación de autenticación multifactor (MFA)
-
Auditorías de seguridad frecuentes y capacitación para el personal
En conclusión. la campaña reciente atribuida a Marbled Dust pone de relieve la amenaza persistente que representan los actores estatales altamente capacitados. La explotación de una vulnerabilidad de día cero y el uso de técnicas avanzadas de espionaje indican una clara intensificación de su actividad. Para protegerse, las organizaciones deben permanecer alerta, actualizar sus sistemas y reforzar sus políticas de seguridad ante esta creciente ola de ciberataques dirigidos.
Fuente: Bleeping Computer
