Los hackers han estado explotando una vulnerabilidad crítica (**CVE-2026-22679**) en la plataforma de automatización de oficinas **Weaver E-cology** desde mediados de marzo para ejecutar comandos de descubrimiento. Los ataques comenzaron apenas cinco días después de que el proveedor de software lanzara una actualización de seguridad para abordar el problema, y dos semanas antes de divulgar públicamente la vulnerabilidad. **Vega**, una empresa de inteligencia de amenazas, documentó la actividad maliciosa, informando que los ataques abarcaron aproximadamente una semana, cada uno compuesto por varias fases distintas. **Weaver E-cology** es una plataforma empresarial de automatización de oficinas (OA) y colaboración utilizada para gestionar flujos de trabajo, documentos, procesos de RR. HH. y operaciones comerciales internas. La plataforma es utilizada principalmente por organizaciones chinas. ## CVE-2026-22679: Un análisis profundo **CVE-2026-22679** representa una falla crítica de ejecución remota de código no autenticada que afecta a las compilaciones de **E-cology** 10.0 anteriores al 12 de marzo. La causa raíz de la vulnerabilidad radica en un endpoint de API de depuración expuesto. Este endpoint permite de manera inapropiada que los parámetros proporcionados por el usuario interactúen con la funcionalidad de Llamada a Procedimiento Remoto (RPC) del backend, eludiendo tanto los mecanismos de autenticación como de validación de entrada. Esta omisión permite a los atacantes inyectar valores manipulados que luego se ejecutan como comandos del sistema en el servidor, transformando efectivamente el endpoint en una interfaz de ejecución remota de comandos. ## Análisis de Ataque Según el análisis de **Vega**, los atacantes inicialmente probaron las capacidades de ejecución remota de código (RCE) activando comandos ping desde el proceso Java a un callback enlazado a Goby. Después de esto, intentaron descargar múltiples payloads basados en PowerShell. Sin embargo, estos intentos fueron frustrados por las defensas del endpoint. Posteriormente, los atacantes intentaron desplegar un instalador MSI consciente del objetivo (`fanwei0324.msi`). Este intento también falló, y no se observó más actividad relacionada con este enfoque. Tras estos intentos fallidos, los atacantes volvieron a explotar el endpoint RCE. Emplearon scripts de PowerShell ofuscados y sin archivos para obtener repetidamente scripts remotos. Durante todas las fases del ataque, los actores de amenazas ejecutaron consistentemente comandos de reconocimiento, incluyendo `whoami`, `ipconfig` y `tasklist`.  **Vega** enfatiza que, a pesar de tener la oportunidad de ejecutar código arbitrario a través de **CVE-2026-22679**, los atacantes no establecieron una sesión persistente en el host objetivo. ## Mitigación Se recomienda encarecidamente a los usuarios de **Weaver E-cology** 10.0 que apliquen las actualizaciones de seguridad disponibles en el sitio web del proveedor lo antes posible. "Cada proceso de atacante que observamos es hijo de `java.exe` (la Máquina Virtual Java incluida en el Tomcat de **Weaver**), sin autenticación previa", explicó **Vega**, y agregó que "la corrección del proveedor (compilación 20260312) elimina por completo el endpoint de depuración". No se proporcionan mitigaciones o soluciones alternativas en el boletín oficial; por lo tanto, actualizar a la última versión parcheada es el único curso de acción recomendado. <div> <h2>El 99% de lo que encontró Mythos sigue sin parchear.</h2> <p>La IA encadenó cuatro zero-days en un exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits.</p> <p>En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación.</p> Reclama tu Lugar </div>