El investigador Haifei Li detectó un exploit PDF que roba datos del sistema y puede escalar a ejecución remota de código. Funciona en la última versión del lector y se activa con solo abrir el documento.
El investigador Haifei Li, fundador del sistema de detección de exploits EXPMON, reveló este martes la existencia de una vulnerabilidad zero-day en Adobe Reader que ha sido explotada activamente durante al menos cuatro meses. El ataque utiliza documentos PDF maliciosos para robar información sensible de los sistemas comprometidos y tiene capacidad potencial para escalar hacia ejecución remota de código (RCE) y escape del sandbox, lo que otorgaría al adversario control total sobre la máquina víctima.
La muestra inicial fue enviada a EXPMON el 26 de marzo bajo el nombre "yummy_adobe_exploit_uwu.pdf", aunque análisis posteriores revelaron que variantes del mismo exploit ya estaban en VirusTotal desde noviembre de 2025. Esto indica que la campaña ha estado operando de forma silenciosa durante al menos cuatro meses. Según el análisis publicado por Haifei Li, el exploit ha sido confirmado como funcional en la versión más reciente de Adobe Reader, lo que confirma que se trata de una vulnerabilidad no parcheada.
El vector de ataque abusa de APIs privilegiadas del motor JavaScript de Acrobat. Específicamente, utiliza util.readFileIntoStream() para leer archivos arbitrarios accesibles por el proceso de Reader, y RSS.addFeed() para exfiltrar los datos recolectados hacia un servidor controlado por el atacante ubicado en la IP 169.40.2.68, puerto 45191. Este mecanismo permite realizar fingerprinting avanzado del sistema, sistema operativo, idioma, versión de Reader y rutas de archivo locales son transmitidos al servidor adversario antes de decidir si se entrega un payload adicional.
La sofisticación del ataque radica en su arquitectura de dos etapas. El exploit inicial actúa como un recolector de información que evalúa si el objetivo cumple con criterios específicos del atacante. Solo si la víctima es considerada valiosa, el servidor remoto entrega código JavaScript adicional cifrado diseñado para evadir herramientas de detección de red.
Durante las pruebas de laboratorio, Li logró conectar con el servidor pero no recibió payloads secundarios, sugiriendo que sus entornos de prueba no cumplían los criterios de selección del atacante.
El analista de amenazas Gi7w0rm identificó que los PDFs maliciosos distribuidos en esta campaña contienen señuelos en ruso que referencian eventos actuales en la industria petrolera y gasística de Rusia. Esta característica apunta a un actor con interés en el sector energético de esa región, aunque el alcance global de la campaña aún está siendo evaluado. El tráfico malicioso puede identificarse monitoreando conexiones HTTP/HTTPS que contengan la cadena "Adobe Synchronizer" en el encabezado User-Agent.
Li ha notificado a Adobe Security sobre estos hallazgos. Hasta el momento no hay parche disponible. La recomendación inmediata para usuarios y organizaciones es evitar abrir documentos PDF de fuentes no verificadas y bloquear en los firewalls la comunicación hacia la infraestructura de comando y control identificada.
FUENTE ORIGINAL
Haifei Li Blog↗CURADO POR
Alejandro Vargas