Microsoft ha cerrado silenciosamente una vulnerabilidad crítica en los archivos de acceso directo de Windows, explotada durante mucho tiempo por redes de espionaje y cibercrimen.
La falla, rastreada como CVE-2025-9491, permite que archivos de acceso directo (.lnk) maliciosos oculten argumentos de línea de comandos dañinos a los usuarios, permitiendo la ejecución de código oculto cuando una víctima abre el acceso directo.
Investigadores de Trend Micro informaron en marzo que casi mil muestras maliciosas de .lnk, que datan de 2017, explotaron esta debilidad en una combinación de campañas patrocinadas por estados y cibercriminales en todo el mundo. «Nuestro análisis reveló que 11 grupos patrocinados por estados de Corea del Norte, Irán, Rusia y China han empleado ZDI-CAN-25373 en operaciones motivadas principalmente por el ciberespionaje y el robo de datos», indicaron en ese momento.
La técnica es engañosamente simple: comandos maliciosos se rellenan con espacios en blanco (u otros caracteres no imprimibles) de modo que, cuando se ven las propiedades del acceso directo en Windows, el campo «Destino» aparece inofensivo, ya sea en blanco o terminando en binarios inocuos, ocultando efectivamente cargas útiles nefastas.
Los intentos iniciales de Trend Micro’s Zero Day Initiative (ZDI) para que Microsoft corrigiera la vulnerabilidad fueron rechazados, ya que la compañía argumentó que la falla era de «baja gravedad» y no cumplía con los requisitos para recibir una actualización.
Pero la ventana de complacencia ahora se ha cerrado. Según 0patch, un servicio de monitoreo de parches, Microsoft implementó una «mitigación silenciosa» en su paquete de correcciones de Patch Tuesday de noviembre de 2025. Después de la actualización, el cuadro de diálogo «Propiedades» de Windows ahora revela el comando completo, eliminando el truco de ofuscación en el que dependían los atacantes.
La sincronización de la corrección no es casualidad. En octubre, investigadores de Arctic Wolf Labs revelaron que un grupo de espionaje vinculado a China, conocido como UNC6384 o «Mustang Panda», había aprovechado CVE-2025-9491 en una campaña dirigida contra entidades diplomáticas europeas en Hungría, Bélgica, Italia, Serbia y los Países Bajos.
La cadena de ataque comenzó con correos electrónicos de phishing que se hacían pasar por invitaciones a talleres de la OTAN o de la Comisión Europea. Cuando un destinatario abría lo que parecía ser un acceso directo inofensivo, los comandos ocultos activaban scripts de PowerShell ofuscados que dejaban caer una carga útil de varias etapas, culminando en la instalación del troyano de acceso remoto PlugX a través de la carga lateral de DLL de binarios legítimos y firmados. Esto les dio a los atacantes un acceso persistente y sigiloso a los sistemas comprometidos.
Esta campaña subraya el valor que tienen los archivos LNK para los atacantes: archivos cortos y aparentemente inofensivos que evaden muchos filtros de archivos adjuntos de correo electrónico, pero que aún son capaces de ejecutar código remoto completo a través de la ingeniería social.
Para los defensores, la mitigación de Microsoft no significa que el riesgo haya desaparecido. La extensa historia de explotación que se remonta a años sugiere que muchos sistemas pueden seguir comprometidos, y hasta que todas las máquinas Windows afectadas reciban la actualización, la táctica seguirá siendo peligrosa en la naturaleza. ®
