Investigadores de ESET han identificado dos vulnerabilidades críticas, CVE-2024-9680 y CVE-2024-49039, utilizadas activamente por el grupo de amenazas avanzadas persistentes (APT) RomCom, alineado con Rusia. Estas fallas, que afectan productos de Mozilla y el sistema operativo Windows, han sido explotadas en campañas de ciberespionaje dirigidas contra sectores clave en Europa, América del Norte y Ucrania.
Detalles de las vulnerabilidades
La vulnerabilidad CVE-2024-9680, detectada el 8 de octubre de 2024, es un error «use-after-free» en la función de línea de tiempo de animaciones en Firefox. Con una calificación crítica de 9.8/10 en la escala CVSS, afecta también a versiones vulnerables de Thunderbird y Tor Browser. Si se combina con la vulnerabilidad de día cero en Windows CVE-2024-49039, que permite la ejecución de código fuera del entorno seguro del navegador, los atacantes pueden instalar software malicioso sin requerir interacción del usuario.
Ambas vulnerabilidades fueron rápidamente corregidas: Mozilla lanzó un parche para CVE-2024-9680 el 9 de octubre, mientras que Microsoft corrigió CVE-2024-49039 el 12 de noviembre. Sin embargo, durante el período en que estas fallas estuvieron activas, RomCom desplegó ataques en Ucrania, Estados Unidos y Europa, distribuyendo un backdoor que permitía ejecutar comandos y descargar módulos adicionales en los sistemas comprometidos.
El modus operandi de RomCom
RomCom, conocido también como Storm-0978, Tropical Scorpius o UNC2596, es un grupo asociado a operaciones de ciberespionaje y ciberdelincuencia. En 2024, sus objetivos incluyeron sectores gubernamentales, defensa, energía, farmacéuticos, seguros y legales. Los ataques comienzan con la redirección de víctimas a sitios web falsos que alojan los exploits. Una vez que un navegador vulnerable accede al sitio, el código malicioso se ejecuta automáticamente, instalando el backdoor de RomCom sin necesidad de interacción por parte del usuario.
“El exploit permite descargar e instalar el backdoor directamente, explotando dos vulnerabilidades combinadas. Agradecemos al equipo de Mozilla por su rápida respuesta, corrigiendo la vulnerabilidad en menos de 24 horas”, explicó Damien Schaeffer, investigador de ESET y descubridor de ambas fallas.
Respuesta rápida y análisis de impacto
Este incidente marca el segundo caso documentado de RomCom explotando vulnerabilidades de día cero, después de abusar de CVE-2023-36884 en Microsoft Word en junio de 2023. Los expertos destacan la importancia de las actualizaciones rápidas: tanto Mozilla como Microsoft corrigieron las vulnerabilidades en un tiempo récord, limitando el impacto potencial.
Para obtener un análisis técnico detallado, ESET ha publicado un informe completo en su blog WeLiveSecurity, titulado “RomCom exploits Firefox and Windows zero days in the wild”. Este caso subraya la necesidad de mantener sistemas actualizados y fortalecer la ciberseguridad frente a amenazas sofisticadas como RomCom.