Hackers exploram falha crítica no produto de compartilhamento de arquivos Triofox – Against Invaders – Notícias de CyberSecurity para humanos.

Hackers exploram falha crítica no produto de compartilhamento de arquivos Triofox - Against Invaders - Notícias de CyberSecurity para humanos.

Os agentes de ameaças cibernéticas têm explorado uma vulnerabilidade no Triofox, uma plataforma de compartilhamento de arquivos e acesso remoto, e a acorrentaram ao abuso do recurso antivírus integrado para obter a execução do código.

O cluster de atividades de ameaças que conduz a exploração é rastreado como UNC6485 pelo Mandiant Threat Defense e pelo Google Threat Intelligence Group (GTIG) do Google, de acordo com Um novo relatório publicado em 10 de novembro.

A vulnerabilidade, CVE-2025-12480, foi descoberto e relatado pela Mandiant em 10 de novembro. É uma falha crítica de controle de acesso impróprio (CVSS: 9.8) que afeta as versões do Triofox anteriores a 16.7.10368.56560.

Quando explorado, ele permite que um invasor obtenha acesso às páginas de configuração inicial mesmo após a conclusão da configuração, permitindo o upload e a execução de cargas arbitrárias.

O Google entrou em contato com a Gladinet antes de divulgar a vulnerabilidade.

A gigante da tecnologia confirmou que o proprietário do software lançou uma versão corrigida do Triofox, 16.7.10368.56560, em junho.

No entanto, a campanha de exploração começou em agosto, com UNC6485 explorando o CVE-2025-12480 em versões mais antigas do Triofox.

Como UNC64485 explorado CVE-2025-12480

A Mandiant detectou a campanha maliciosa enquanto respondia a um incidente de segurança e avaliou que ela começou em 14 de agosto de 2025.

Os pesquisadores identificaram uma entrada anômala no arquivo de log HTTP – um cabeçalho de host localhost – que eles descreveram como “altamente irregular” em uma solicitação originada de uma fonte externa e “normalmente não esperada em tráfego legítimo”.

“A investigação revelou uma vulnerabilidade de acesso não autenticado que permitia o acesso às páginas de configuração. UNC6485 usou essas páginas para executar o processo inicial de configuração do Triofox para criar uma nova conta de administrador nativo, Cluster Admin, e usou essa conta para realizar atividades subsequentes”, escreveram os pesquisadores da Mandiant e do GTIG no relatório.

A Mandiant descobriu que os invasores exploraram uma vulnerabilidade de cabeçalho HTTP Host falsificando localhost em solicitações, ignorando os controles de acesso para acessar a página de configuração do AdminDatabase.aspx normalmente restrita.

Ao abusar dessa configuração incorreta, em que a função CanRunCriticalPage() dependia apenas do cabeçalho de host não validado, eles acionaram o processo de inicialização do Triofox, criando uma nova conta nativa de ‘Administrador de cluster’ com privilégios totais.

A falha resultou da falta de validação de origem e dependência excessiva do cabeçalho do host, permitindo acesso remoto não autenticado a páginas de configuração críticas.

Para obter a execução do código, os invasores fizeram login usando a conta de administrador recém-criada e carregaram arquivos maliciosos para executá-los usando o recurso antivírus integrado.

Para configurar o recurso antivírus, o usuário tem permissão para fornecer um caminho arbitrário para o antivírus selecionado. O arquivo configurado como o local do mecanismo de varredura antivírus herda os privilégios da conta do processo pai do Triofox, em execução no contexto da conta SYSTEM.

Os invasores conseguiram executar seu script de lote malicioso configurando o caminho do mecanismo antivírus para apontar para o script.

Em seguida, ao carregar um arquivo arbitrário para qualquer compartilhamento publicado na instância do Triofox, o script configurado será executado.

Depois de obter acesso inicial, os invasores implantaram um instalador disfarçado do Zoho Unified Endpoint Management System (UEMS) via PowerShell para descartar o Zoho Assist e o AnyDesk para controle remoto.

Os invasores então usaram essas ferramentas para enumerar sessões de Server Message Block (SMB), escalar privilégios modificando associações de grupo de domínio/administrador e exfiltrar credenciais.

Para persistência e evasão, eles estabeleceram um túnel SSH via Plink/PuTTY para seu servidor de comando e controle (C2), permitindo acesso secreto ao protocolo de área de trabalho remota (RDP) pela porta 433 enquanto mascaram o tráfego como atividade legítima de gerenciamento remoto.

Atualize o Triofox, audite contas de administrador e procure ferramentas de invasores

Embora a vulnerabilidade CVE-2025-12480 tenha sido corrigida desde junho, a campanha maliciosa identificada pela Mandiant mostra evidências de que os agentes de ameaças estavam explorando versões não corrigidas do Triofox em agosto.

Portanto, o relatório GTIG instou os usuários do Triofox não apenas a atualizar para a versão mais recente, mas também recomendou auditar contas de administrador e verificar se o mecanismo antivírus do Triofox não está configurado para executar scripts ou binários não autorizados.

“As equipes de segurança também devem procurar ferramentas de ataque usando nosso hunting listadas na parte inferior deste post e monitorar o tráfego SSH de saída anômalo”, concluiu o relatório.

Outra vulnerabilidade que afeta o Triofox, rastreada como CVE-2025-11371, foi recentemente adicionado à Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) Catálogo de vulnerabilidades exploradas conhecidas (KEV).

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.