Una vulnerabilidad en **TrueConf**, un popular software de videoconferencia, está bajo explotación activa, lo que ha provocado una acción urgente por parte del gobierno de EE. UU. ### Directiva de CISA **CISA** ha emitido una directiva que exige a todas las agencias federales parchear **CVE-2026-3502** antes del 16 de abril. Esta vulnerabilidad en **TrueConf** tiene una puntuación de severidad de 7.8 sobre 10, lo que indica un riesgo significativo. ### Campaña "TrueChaos" La urgencia surge tras un informe de investigadores de **Check Point** que detalla una campaña de hacking, denominada 'TrueChaos', presuntamente llevada a cabo por actores chinos. La campaña supuestamente se dirige a gobiernos en el Sudeste Asiático y aprovecha la vulnerabilidad **CVE-2026-3502**. **Check Point** declaró que la explotación comenzó a principios de 2026 y comúnmente involucró la herramienta de pruebas de penetración **Havoc**. Esta herramienta ha sido utilizada repetidamente por actores de amenazas chinos en el último año. ### Detalles de la Vulnerabilidad Según **Check Point**, la vulnerabilidad reside en el mecanismo de validación del actualizador de la aplicación. Un atacante que obtenga control de un servidor **TrueConf** local puede explotar esta falla para distribuir y ejecutar archivos arbitrarios en los puntos finales conectados. Esto se logra a través del canal de actualización confiable, donde se envían actualizaciones maliciosas a clientes desprevenidos. ### Impacto Generalizado **TrueConf** es ampliamente utilizado en diversas organizaciones en Asia, Europa y América, sirviendo a aproximadamente 100,000 organizaciones a nivel mundial. Sus usuarios principales incluyen sectores gubernamentales, militares y de infraestructura crítica, donde se valora por su capacidad para garantizar la privacidad de los datos y la autonomía de las comunicaciones, especialmente en entornos seguros o remotos. **Check Point** destaca la utilidad de **TrueConf** en áreas con conectividad a Internet limitada o nula, o durante desastres naturales, facilitando la coordinación esencial. La capacidad de alojar el servidor en hardware interno mantiene todo el tráfico de audio, video y chat contenido en el sitio, con activación sin conexión disponible para sistemas completamente aislados. ### Vector de Infección Las infecciones iniciales suelen originarse a partir de enlaces enviados a las víctimas, lo que provoca una actualización a una versión más reciente del cliente **TrueConf**. Sin embargo, el atacante ya ha reemplazado el paquete de actualización en el servidor local con una versión armada, asegurando que el cliente recupere un archivo malicioso durante el proceso de actualización. En un caso, un servidor **TrueConf** local comprometido, operado por un departamento de TI gubernamental, sirvió como plataforma de videoconferencia para numerosas entidades gubernamentales. Todas estas entidades recibieron la misma actualización maliciosa. ### Atribución a Actores Chinos **Check Point** atribuye la campaña 'TrueChaos' a actores chinos basándose en las tácticas, técnicas y procedimientos (TTPs) observados, junto con el uso de herramientas de alojamiento de **Alibaba Cloud** y **Tencent**. Además, la misma víctima fue atacada con el malware **ShadowPad**, una herramienta conocida asociada con actores de amenazas chinos.