En un contexto en el que las ciberamenazas avanzan de manera constante, el descubrimiento del uso del ransomware Play para explotar la vulnerabilidad zero-day CVE-2025-29824 en sistemas Windows ha generado una alarma considerable entre expertos en ciberseguridad. La vulnerabilidad, localizada en el controlador del Common Log File System (CLFS), fue utilizada recientemente para vulnerar la seguridad de una entidad estadounidense no identificada, según el análisis realizado por el equipo Symantec Threat Hunter, parte de Broadcom. La explotación de CVE-2025-29824 representa un desafío significativo para el ecosistema Windows, ya que se trata de una falla de escalada de privilegios que permite a actores maliciosos elevar sus permisos dentro del sistema afectado. Esta vulnerabilidad crítica fue oficialmente parcheada por Microsoft poco antes de que se reportara el ataque, lo que indica que los atacantes aprovecharon la brecha antes de que la corrección estuviera disponible para los usuarios, un escenario típico de zero-day. El ransomware Play, conocido también como Balloonfly o PlayCrypt, se ha caracterizado por tácticas sofisticadas de doble extorsión, en donde los operadores no solo cifran la información, sino que también filtran datos sensibles para presionar a las víctimas a pagar el rescate.
Este grupo ha estado activo desde al menos mediados de 2022, y su reciente actividad demuestra una clara evolución en sus métodos y herramientas. Las técnicas observadas en el ataque apuntan a que los ciberdelincuentes habrían ingresado inicialmente a la red a través de un dispositivo Cisco Adaptive Security Appliance (ASA) accesible desde el exterior. Posteriormente, y mediante métodos aún no esclarecidos, lograron extenderse a otros sistemas Windows dentro de la infraestructura objetivo. Esta estrategia multietapa resalta la complejidad y planificación involucradas en el ataque. Un aspecto particularmente notable de esta campaña es la introducción de un malware denominado Grixba, un ladrón de información personalizado que ha sido vinculado previamente con el ransomware Play.
Para camuflar sus archivos maliciosos, los atacantes utilizaron nombres asociados falsamente con software de seguridad de Palo Alto Networks, como “paloaltoconfig.exe” y “paloaltoconfig.dll”, ubicándolos en una carpeta denominada Music para evadir la detección. Durante la explotación de la vulnerabilidad, se crean dos archivos críticos en el directorio C:\ProgramData\SkyPDF. El primero es un archivo de registro base del CLFS llamado PDUDrv.
blf, que funciona como evidencia del proceso de explotación. El segundo es una biblioteca DLL llamada clssrv.inf, la cual se inyecta en el proceso winlogon.exe, servidor de inicio de sesión de Windows. Esta DLL tiene la capacidad de desplegar dos archivos batch adicionales que cumplen roles específicos para los atacantes.
Uno de esos archivos batch, denominado servtask.bat, está diseñado para escalar privilegios, obtener volcado de las claves de registro SAM, SYSTEM y SECURITY, crear un usuario local llamado “LocalSvc” y añadirlo al grupo de administradores. Este conjunto de acciones otorga a los actores maliciosos control prácticamente total sobre el sistema. El otro archivo, cmdpostfix.bat, se dedica a limpiar los rastros de la explotación, dificultando así el análisis forense y la detección temprana por parte del personal de seguridad.
Es importante resaltar que, según Symantec, en la intrusión detectada no se desplegó una carga útil de ransomware, lo que sugiere que los atacantes pudieron haber estado en una fase inicial de reconocimiento o preparación previa a un ataque de cifrado masivo. Además, estas técnicas evidencian que la explotación de la vulnerabilidad CVE-2025-29824 estaba posiblemente al alcance de múltiples actores antes de la implementación del parche. La gravedad del escenario se incrementa al compararlo con otro incidente conocido como Storm-2460, revelado por Microsoft, donde la misma vulnerabilidad fue explotada para instalar un troyano llamado PipeMagic. La campaña protagonizada por Play ransomware, sin embargo, presenta metodologías y objetivos distintos, demostrando que CVE-2025-29824 es un vector de ataque codiciado usado por diferentes grupos con fines diversos. El uso de vulnerabilidades zero-day por parte de grupos de ransomware no es una novedad, pero la frecuencia y sofisticación con la que se emplean va en aumento.
Por ejemplo, en 2024 se reportó que el grupo Black Basta utilizó otra vulnerabilidad de escalada de privilegios en Windows, denominada CVE-2024-26169, a modo de zero-day para asegurar acceso privilegiado antes de desplegar sus ataques. Este patrón recalca una tendencia al alza donde los actores maliciosos buscan aprovechar vulnerabilidades previas a sus correcciones oficiales, permitiéndoles penetrar entornos corporativos con mayor efectividad y menor riesgo de ser detectados en etapas tempranas. Esto subraya la necesidad crítica para organizaciones y administradores de mantener una postura proactiva de ciberseguridad, actualizando constantemente sus sistemas y monitoreando actividades anómalas. Paralelamente, se han identificado otras técnicas emergentes relacionadas con la evasión de soluciones de seguridad endpoint. Por ejemplo, la técnica llamada "Bring Your Own Installer" (BYOI) fue reportada siendo utilizada en ataques con el ransomware Babuk para desactivar sistemas de detección y respuesta de endpoints (EDR) sin necesidad de explotar vulnerabilidades del controlador ni usar herramientas ofensivas complejas.
Esta técnica sincroniza la terminación del proceso de actualización del software de seguridad para dejar el sistema expuesto. En ese sentido, empresas proveedoras de soluciones como SentinelOne han implementado actualizaciones para mitigar este tipo de evasiones, estableciendo controles más rigurosos en la autorización de actualizaciones locales y respondiendo con reglas específicas para detectar los patrones de BYOI. La evolución en las estrategias de los actores de amenazas también se refleja en la focalización de servidores críticos dentro de las redes corporativas. Los atacantes tienden a atacar controladores de dominio, ya que obtener control sobre estos sistemas permite manejar credenciales privilegiadas y desplegar ransomware a gran escala en cuestión de minutos, afectando cientos o miles de dispositivos. Microsoft ha informado que más del 78% de los ataques cibernéticos operados por humanos lograron comprometer un controlador de dominio, y en más del 35% de estos ataques, el primer dispositivo desde donde se propagó el ransomware fue justamente un controlador de dominio.
Esto reafirma la vital importancia de proteger este tipo de infraestructura para evitar interrupciones masivas en las operaciones. Además de Play ransomware, se ha observado la aparición de nuevos servicios de Ransomware-as-a-Service (RaaS), como PlayBoy Locker, que proveen a actores menos experimentados herramientas fáciles de usar, paneles de administración y soporte técnico para llevar a cabo sus campañas. Estos servicios permiten un desarrollo personalizado de payloads que impactan diferentes plataformas, desde sistemas Windows hasta servidores NAS y entornos ESXi. Simultáneamente, grupos como DragonForce han consolidado operaciones de ransomware bajo modelos similares a carteles, ofreciendo infraestructuras, malware y servicios de soporte, mientras que las afiliadas ejecutan las operaciones bajo distintas marcas. Este fenómeno multiplica la amenaza y dificulta las labores de investigación y desmantelamiento.
Esta dinámica de fragmentación y proliferación de grupos de ransomware ha aumentado el volumen de ataques en un 25% durante 2024, evidenciándose también un crecimiento del 53% en la cantidad de sitios de filtración de datos relacionados con extorsiones. Los colectivos más pequeños y ágiles están focalizando sus esfuerzos en organizaciones medianas, muchas veces con recursos limitados para defenderse apropiadamente. En resumen, el caso de explotación del CVE-2025-29824 por parte de Play ransomware es un claro llamado de atención para la comunidad de ciberseguridad y las organizaciones alrededor del mundo. La conjunción de vulnerabilidades no parchadas, herramientas malware sofisticadas y tácticas de doble extorsión representan un riesgo grave que exige respuestas coordinadas. Las recomendaciones incluyen mantener sistemas actualizados con los últimos parches de seguridad, implementar soluciones avanzadas de detección y respuesta, reforzar la protección de controladores de dominio, y capacitar continuamente a los equipos sobre las tendencias en ciberamenazas.
La combinación de tecnología, procesos y cultura organizacional será clave para mitigar estos ataques y proteger la continuidad del negocio en un entorno de amenazas cada vez más complejo y dinámico.
![A first successful factorization of RSA-2048 integer by D-Wave quantum computer [pdf]](/images/FF829440-BF2F-463D-84FC-CB34B8BE3A7E)
