Se insta a los usuarios de **TrueConf**, particularmente a aquellos en los sectores gubernamental y de infraestructura crítica, a actualizar su software de inmediato para abordar una falla de seguridad crítica. La vulnerabilidad, **CVE-2026-3502**, se deriva de una falta de verificación de integridad en el mecanismo de actualización de software, lo que permite a los atacantes distribuir actualizaciones maliciosas. ### Detalles de la Zero-Day La vulnerabilidad de severidad media afecta a las versiones de **TrueConf** 8.1.0 a 8.5.2. Al obtener control de un servidor **TrueConf** on-premises, un atacante puede reemplazar el paquete de actualización esperado con un ejecutable malicioso, que luego se distribuye a todos los clientes conectados. Esto permite la ejecución de código arbitrario en los sistemas afectados. ### Ataques Dirigidos: Operación 'TrueChaos' Los investigadores de **Check Point** han estado rastreando una campaña denominada 'TrueChaos' desde principios de año, que explota **CVE-2026-3502** en ataques zero-day. Los objetivos principales parecen ser entidades gubernamentales en el Sudeste Asiático. "Un atacante que obtiene control del servidor **TrueConf** on-premises puede reemplazar el paquete de actualización esperado con un ejecutable arbitrario, presentado como la versión actual de la aplicación, y distribuirlo a todos los clientes conectados", declaró **Check Point** en su informe. "Debido a que el cliente confía en la actualización proporcionada por el servidor sin una validación adecuada, el archivo malicioso puede ser entregado y ejecutado bajo el pretexto de una actualización legítima de **TrueConf**".  ### Atribución y Tácticas **Check Point** evalúa con moderada confianza que la actividad 'TrueChaos' está vinculada a un actor de amenazas con nexos chinos, basándose en las tácticas, técnicas y procedimientos (TTPs) observados. Los atacantes utilizan **Alibaba Cloud** y **Tencent** para alojar su infraestructura de comando y control (C2). Los ataques implican el compromiso de un servidor **TrueConf** gubernamental administrado centralmente para distribuir archivos maliciosos a través de actualizaciones falsas a los clientes conectados. La cadena de infección implica DLL sideloading, despliegue de herramientas de reconocimiento (tasklist, tracert), escalada de privilegios (UAC bypass vía iscicpl.exe) y mecanismos de persistencia.  Aunque el payload final aún no ha sido recuperado, el tráfico de red sugiere el uso del framework C2 **Havoc**. **Havoc** es un framework C2 de código abierto capaz de ejecutar comandos, administrar procesos, manipular tokens de Windows, ejecutar shellcode y desplegar payloads adicionales en sistemas comprometidos. Anteriormente se ha relacionado con el clúster de amenazas chino 'Amaranth Dragon'. ### Mitigación e Indicadores de Compromiso (IoCs) **TrueConf** abordó la vulnerabilidad en la versión 8.5.3, lanzada en marzo de 2026. Se recomienda encarecidamente a los usuarios que actualicen a la última versión. El informe de **Check Point** proporciona indicadores de compromiso (IoCs) para ayudar a las organizaciones a detectar posibles infecciones. Los indicadores clave incluyen la presencia de *poweriso.exe* o *7z-x64.dll*, y artefactos sospechosos como *%AppData%\Roaming\Adobe\update.7z* o *iscsiexe.dll*. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> ## <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">El Pentesting Automatizado Cubre Solo 1 de 6 Superficies.</a> El pentesting automatizado demuestra que el camino existe. BAS demuestra si sus controles lo detienen. La mayoría de los equipos ejecutan uno sin el otro. Este whitepaper mapea seis superficies de validación, muestra dónde termina la cobertura y proporciona a los profesionales tres preguntas de diagnóstico para la evaluación de cualquier herramienta.