Un grupo de ciberdelincuentes está aprovechando una vulnerabilidad de casi dos años en el software de mensajería Apache ActiveMQ (CVE-2023-46604) para infiltrarse en sistemas Linux en la nube. Una vez dentro, estos atacantes despliegan un nuevo tipo de malware llamado DripDropper.
Lo que hace que este ataque sea inusual, según un informe de la firma de seguridad Red Canary, es que los atacantes, tras obtener acceso inicial, parchean la misma vulnerabilidad que usaron para entrar. Esto lo hacen para evitar que otros ciberdelincuentes exploten la misma falla y, a la vez, dificultar su propia detección.
El fallo de seguridad es una vulnerabilidad de ejecución remota de código con una puntuación CVSS de 10.0, el máximo posible. Permite a los atacantes ejecutar comandos de forma arbitraria en los sistemas afectados. A pesar de haber sido corregida en octubre de 2023, sigue siendo activamente explotada por múltiples actores de amenazas que la utilizan para desplegar diversas cargas maliciosas, como el ransomware HelloKitty y el malware GoTitan.
En el caso de DripDropper, los atacantes usan la vulnerabilidad para modificar las configuraciones de SSH, permitiendo el acceso como usuario root. Así, pueden instalar el malware, que es un archivo binario ejecutable de PyInstaller. DripDropper requiere una contraseña para ejecutarse, lo que dificulta su análisis. Además, se comunica con una cuenta legítima de Dropbox controlada por los atacantes. Este uso de servicios legítimos es una táctica creciente para pasar desapercibidos y evitar ser detectados.
El malware DripDropper funciona como un descargador que luego instala dos archivos adicionales. Uno de estos archivos realiza diversas acciones en los sistemas infectados, como monitorear procesos y contactar a Dropbox para recibir más comandos. Para asegurar su persistencia, los atacantes modifican archivos de cron, que son los programadores de tareas en sistemas Linux, para que el malware se ejecute periódicamente. El segundo archivo también contacta a Dropbox para recibir órdenes y modifica los archivos de configuración de SSH, probablemente como un mecanismo de acceso persistente de respaldo.
La fase final del ataque es el parcheo de la vulnerabilidad inicial. Los atacantes descargan e instalan las actualizaciones de Apache Maven para la falla CVE-2023-46604. Los investigadores de Red Canary explican que esto no afecta sus operaciones porque ya han establecido otros métodos de persistencia para mantener el acceso al sistema. La técnica de explotar una vulnerabilidad y luego parchearla para "asegurar" el acceso no es nueva; la agencia de ciberseguridad francesa ANSSI documentó un caso similar en el que un actor de amenazas chino empleaba el mismo método.
El artículo concluye que este tipo de campaña subraya la importancia de que las organizaciones apliquen parches de seguridad de manera oportuna. Además, recomienda limitar el acceso a servicios internos a direcciones IP de confianza o VPNs y monitorear constantemente los registros de los entornos en la nube para detectar actividades anómalas.
Fuente:
https://thehackernews.com/2025/08/apache-activemq-flaw-exploited-to.html