Investigadores de seguridad han descubierto un exploit de día cero activo que apunta a **Adobe Reader**, utilizando archivos PDF especialmente diseñados. El exploit, señalado por Haifei Li de **EXPMON**, se describe como un ataque sofisticado que aprovecha una vulnerabilidad previamente desconocida. ### Descubrimiento y Análisis El artefacto malicioso, denominado "Invoice540.pdf", se observó por primera vez en **VirusTotal** el 28 de noviembre de 2025. Una segunda muestra apareció el 23 de marzo de 2026. El nombre del archivo sugiere un componente de ingeniería social, que incita a los usuarios a abrir los archivos. Tras la ejecución, el PDF activa código JavaScript ofuscado diseñado para recopilar información sensible y descargar payloads adicionales. ### Objetivos y Técnicas El investigador de seguridad Gi7w0rm señaló que los documentos PDF contienen señuelos en ruso, haciendo referencia a eventos actuales relacionados con la industria del petróleo y gas en Rusia. Esto sugiere una campaña dirigida. Según Li, el exploit actúa como un punto de entrada inicial, capaz de recopilar y filtrar diversos tipos de datos, lo que potencialmente podría llevar a exploits de Ejecución Remota de Código (RCE) y Escape de Sandbox (SBX). "La muestra actúa como un exploit inicial con la capacidad de recopilar y filtrar varios tipos de información, potencialmente seguido por exploits de ejecución remota de código (RCE) y escape de sandbox (SBX)", dijo Li. ### Detalles Técnicos La vulnerabilidad permite la ejecución de APIs privilegiadas de Acrobat, incluso en la última versión de **Adobe Reader**. El exploit también incluye funcionalidad para exfiltrar datos recopilados a un servidor remoto (169.40.2[.]68:45191) y recibir código JavaScript adicional para su ejecución. Este mecanismo podría permitir ataques avanzados de huella digital y allanar el camino para una mayor explotación, incluida la entrega de exploits adicionales para lograr la ejecución de código o el escape de sandbox. La naturaleza exacta del exploit de siguiente etapa sigue sin estar clara, ya que el servidor remoto no respondió durante el análisis. Esto podría indicar que el entorno de prueba no cumplió con los criterios para la entrega del payload. ### Llamada a la Acción "Sin embargo, esta capacidad de día cero/sin parches para la recolección de información amplia y el potencial de explotación posterior de RCE/SBX es suficiente para que la comunidad de seguridad se mantenga en alerta máxima", dijo Li. ### Actualización **Adobe** ha lanzado actualizaciones de seguridad para la vulnerabilidad (**CVE-2026-34621**, puntuación CVSS: 9.6). Por favor, [haga clic aquí para más detalles](https://thehackernews.com/2026/04/adobe-patches-actively-exploited.html).