En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en un pilar fundamental para proteger la infraestructura digital de organismos y entidades, especialmente en regiones con tensiones geopolíticas como el Medio Oriente. Recientemente, se ha detectado una campaña de espionaje informático protagonizada por un grupo de hackers afiliados a Turquía que ha explotado una vulnerabilidad zero-day en la plataforma de comunicación empresarial Output Messenger, herramienta ampliamente usada para la colaboración interna en diversas organizaciones. Esta campaña ha tenido como objetivo principal servidores asociados a la comunidad kurda en Irak, introduciendo backdoors escritos en Golang con el propósito de extraer información valiosa de los sistemas comprometidos. Output Messenger es una plataforma de comunicación desarrollada en India y utilizada por múltiples empresas para facilitar el flujo de información y la interacción colaborativa. La vulnerabilidad en cuestión, identificada como CVE-2025-27920, consiste en un fallo de tipo directory traversal que permitía a un atacante remoto acceder o ejecutar archivos arbitrarios en el servidor afectado.
A raíz de esta desgraciada debilidad, los atacantes pudieron implementar malware avanzado, concretamente dos archivos maliciosos con extensión VBS junto a un ejecutable en Golang, denominados "OM.vbs", "OMServerService.vbs" y "OMServerService.exe", respectivamente. El grupo responsable de esta ofensiva es conocido por diversos nombres, siendo el más destacado Marbled Dust, aunque también se le reconoce como Cosmic Wolf, Sea Turtle, Teal Kurma y UNC1326.
Se trata de un actor persistente y activo desde al menos 2017, con un historial documentado de incursiones dirigidas contra entidades en la región del Medio Oriente y Norte de África, incluyendo sectores críticos como telecomunicaciones, medios de comunicación y proveedores de servicios de internet. La expansión de sus objetivos hacia los servidores kurdos representa un cambio estratégico que denota una escalada en prioridades operacionales y un aumento en la sofisticación tecnológica. La cadena de ataque comienza con la obtención de acceso a la aplicación Output Messenger Server Manager bajo un contexto ya autenticado, lo que sugiere que los hackers utilizan técnicas previas de ingeniería social, suplantación DNS o dominios de tipo typosquatting para capturar credenciales legítimas de usuarios autorizados. Una vez dentro, se aprovecha la vulnerabilidad zero-day para dejar caer los archivos maliciosos en directorios claves del servidor, como la carpeta de inicio y directorios públicos. A partir de ahí, la ejecución escalonada de estos archivos permite el despliegue del backdoor desarrollado en Golang.
Este contempla comunicación con un dominio específico controlado por el grupo atacante, nombrado "api.wordinfos[.]com", desde donde se realizan solicitudes GET para comprobar la conectividad y enviar información identificativa del dispositivo infectado. Lo más preocupante es que el comando recibido desde el servidor de mando y control se ejecuta directamente a través del intérprete de comandos de Windows, otorgando un nivel elevado de control durante la infección. Además de comprometer servidores, la amenaza también se extiende a los clientes de Output Messenger instalados en dispositivos finales.
El instalador malicioso extrae y ejecuta tanto el archivo legítimo OutputMessenger.exe como otro backdoor denominado OMClientService.exe. Este último también se comunica con el servidor C2 de Marbled Dust, facilitando la exfiltración constante y el control remoto sobre los sistemas afectados. Cabe destacar que, aparte del zero-day CVE-2025-27920, los investigadores de Microsoft identificaron una segunda vulnerabilidad, un defecto de cross-site scripting reflejado (CVE-2025-27921), también en la versión vulnerable 2.
0.62 de Output Messenger. Afortunadamente, hasta la fecha no existen evidencias de que esta segunda falla haya sido explotada en ataques reales. Srimax, la empresa desarrolladora de Output Messenger, solucionó ambas vulnerabilidades lanzando la versión 2.0.
63 en diciembre de 2024. Sin embargo, la compañía no hizo pública ninguna alerta que indicara que estas brechas estaban siendo activamente usadas en campañas maliciosas. La revelación pública y análisis detallado por parte de Microsoft pone en evidencia la urgencia de mantener los sistemas actualizados y monitorizar las señales de compromiso con extrema rigurosidad. La sofisticación y persistencia demostradas por el grupo Marbled Dust señalan un incremento en su capacidad técnica y un cambio en su enfoque, posiblemente motivado por objetivos operacionales más urgentes o complejos. La explotación exitosa de un zero-day confirma que los atacantes han invertido significativamente en desarrollo de herramientas y tácticas para evadir detecciones y ampliar la superficie de ataque.
Por otro lado, la selección de objetivos vinculados a la comunidad kurda en Irak es un reflejo de la dinámica geopolítica y las prioridades de inteligencia en la región. El robo de datos sensibles podría impactar significativamente en aspectos estratégicos y de seguridad local, aumentando tensiones y dificultando la estabilidad. Para las organizaciones que emplean Output Messenger, resulta imprescindible implementar medidas robustas de seguridad, incluyendo la actualización inmediata a versiones corregidas, fortalecimiento de los mecanismos de autenticación y una revisión minuciosa de los registros y tráfico de red para detectar actividades inusuales. Además, la formación continua en ciberseguridad y la implementación de sistemas de detección de intrusiones pueden ser claves para minimizar riesgos futuros. Este incidente también destaca la importancia de la cooperación internacional y el intercambio de inteligencia en materia de ciberamenazas.
La colaboración entre entidades públicas y privadas, junto con la difusión de información sobre vulnerabilidades y ataques activos, contribuye a mejorar la preparación y la respuesta ante campañas maliciosas cada vez más complejas. En resumen, la explotación de la vulnerabilidad zero-day en Output Messenger por parte de hackers turcos asociados a Marbled Dust representa una amenaza crítica para los servidores kurdos en Irak y subraya la necesidad de mantenerse alerta ante ataques dirigidos que combinan ingeniería social, fallos técnicos y herramientas avanzadas de backdoor. El panorama actual demanda un enfoque proactivo y multidimensional en ciberseguridad para proteger activos digitales estratégicos y preservar la integridad de las comunicaciones empresariales y gubernamentales.
