El mecanismo de actualización de la plataforma de videoconferencia fue manipulado para distribuir Havoc, un framework de post-explotación. Check Point Research atribuye la campaña a un actor con nexos a China.
Check Point Research descubrió a inicios de 2026 una campaña de ciberespionaje que explotaba un zero-day previamente desconocido en TrueConf, una plataforma de videoconferencia ampliamente utilizada por gobiernos, fuerzas armadas y operadores de infraestructura crítica. La vulnerabilidad, identificada como CVE-2026-3502 con una puntuación CVSS de 7.8, permitió a los atacantes convertir el mecanismo de actualización confiable del software en un canal de distribución de malware, comprometiendo simultáneamente múltiples agencias gubernamentales en el Sudeste Asiático sin necesidad de phishing ni credenciales robadas.
La operación, bautizada como "TrueChaos", aprovechó una falla crítica en el proceso de validación de actualizaciones del cliente Windows de TrueConf. Cuando la aplicación se inicia, contacta al servidor on-premises para verificar si existe una versión más reciente. Si el servidor tiene un cliente actualizado, la aplicación lo descarga y ejecuta automáticamente.
El problema: el proceso no realiza verificaciones de autenticidad ni integridad de archivos. Cualquier atacante que logre controlar el servidor central puede reemplazar la actualización legítima con un payload malicioso y cada endpoint conectado lo ejecutará sin cuestionamientos.
Según el análisis detallado de Check Point Research, los atacantes comprometieron el departamento de TI de un gobierno que operaba un servidor TrueConf central conectado a docenas de agencias. Al reemplazar el paquete de actualización legítimo con uno modificado, infectaron todos los endpoints conectados en una sola operación.
La actualización maliciosa depositaba dos archivos ocultos: un ejecutable legítimo llamado poweriso.exe y una biblioteca maliciosa denominada 7z-x64.dll. Mediante DLL side-loading, el código malicioso se cargaba en el contexto de un proceso confiable, eludiendo detecciones iniciales.
Una vez establecido el acceso inicial, el atacante ejecutaba comandos de reconocimiento para mapear la red y enumerar procesos activos. Posteriormente, descargaba un loader secundario llamado iscsiexe.dll desde un servidor controlado por el adversario, evadía los prompts de UAC para obtener privilegios elevados y finalmente desplegaba Havoc, un framework de post-explotación de código abierto utilizado para acceso persistente, movimiento lateral y exfiltración de datos. Las direcciones C2 identificadas incluyen 43.134.90[.]60, 43.134.52[.]221 y 47.237.15[.]197.
TrueConf es una solución diseñada específicamente para entornos seguros y separados, con capacidad de operar completamente offline en redes aisladas. Esta característica la convierte en una opción confiable para gobiernos y organizaciones sensibles que requieren soberanía sobre sus comunicaciones. Sin embargo, la arquitectura que garantiza aislamiento también creó un punto único de falla: el servidor central que distribuye actualizaciones se convirtió en el vector de ataque.
TrueConf ha publicado la versión 8.5.3 que corrige la vulnerabilidad. Las organizaciones que utilizan esta plataforma deben actualizar inmediatamente a la versión parcheada y monitorear la presencia de archivos sin firma en directorios de actualización, ejecutables poweriso.exe o bibliotecas 7z-x64.dll en carpetas ProgramData, y conexiones salientes hacia las IPs de C2 conocidas. El incidente refuerza una lección crítica: la confianza implícita en los mecanismos de actualización internos puede ser el eslabón más débil en entornos supuestamente aislados.
FUENTE ORIGINAL
Check Point Research↗CURADO POR
Alejandro Vargas