Una falla de seguridad de alta severidad en el software de videoconferencia cliente **TrueConf** ha sido explotada en la naturaleza como un zero-day como parte de una campaña dirigida a entidades gubernamentales en el Sudeste Asiático, denominada **TrueChaos**. ### CVE-2026-3502: Ejecución de Código Arbitrario a través de Actualizaciones Maliciosas La vulnerabilidad en cuestión es **CVE-2026-3502** (puntuación CVSS: 7.8), una falta de verificación de integridad al obtener el código de actualización de la aplicación. Esto permite a un atacante distribuir una actualización manipulada, lo que resulta en la ejecución de código arbitrario. La vulnerabilidad ha sido parcheada en el cliente **TrueConf** para Windows a partir de la versión 8.5.3, lanzada a principios de este mes. "La falla proviene del abuso del mecanismo de validación del actualizador de **TrueConf**, permitiendo a un atacante que controla el servidor **TrueConf** local distribuir y ejecutar archivos arbitrarios en todos los endpoints conectados", dijo **Check Point** en un informe publicado hoy. En otras palabras, un atacante que logre obtener el control del servidor **TrueConf** local puede sustituir el paquete de actualización por una versión envenenada. Esta actualización maliciosa es luego descargada por la aplicación cliente instalada en los endpoints de los clientes, ya que no aplica una validación adecuada para asegurar que la actualización proporcionada por el servidor no ha sido manipulada. ### Campaña TrueChaos y el Framework Havoc Se ha descubierto que la campaña **TrueChaos** arma esta falla en el mecanismo de actualización para desplegar probablemente el framework de comando y control (C2) de código abierto **Havoc** en endpoints vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenazas con nexos chinos. Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza implícita que el cliente deposita en el mecanismo de actualización fue utilizada para distribuir un instalador no autorizado que, a su vez, utiliza la carga lateral de DLL para lanzar un backdoor de DLL.  El implante de DLL ("7z-x64.dll") también ha sido observado realizando acciones de manos en el teclado para llevar a cabo reconocimiento, establecer persistencia y recuperar payloads adicionales ("iscsiexe.dll") de un servidor FTP ("47.237.15[.]197"). El objetivo principal de "iscsiexe.dll" es asegurar la ejecución de un binario benigno ("poweriso.exe") que se deja caer para cargar lateralmente el backdoor. Aunque el malware exacto de etapa final entregado como parte del ataque no está claro, se evalúa con alta confianza que el objetivo final es desplegar el implante **Havoc**. ### Nexo Chino y Conexiones con ShadowPad Los vínculos de **TrueChaos** con un actor de amenazas con nexos chinos se basan en las tácticas observadas, como el uso de carga lateral de DLL, **Alibaba Cloud** y **Tencent** para infraestructura C2, y el hecho de que la misma víctima fue atacada en el mismo período por **ShadowPad**, un sofisticado backdoor ampliamente utilizado por grupos de hackers vinculados a China. Además, el uso de **Havoc** se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y de aplicación de la ley en el Sudeste Asiático en 2025.  "La explotación de **CVE-2026-3502** no requirió que el atacante comprometiera cada endpoint individualmente", dijo **Check Point**. "En cambio, el atacante abusó de la relación de confianza entre un servidor **TrueConf** local central y sus clientes. Al reemplazar una actualización legítima por una maliciosa, convirtieron el flujo de actualización normal del producto en un canal de distribución de malware a través de múltiples redes gubernamentales conectadas."