Microsoft cerró en abril una de las vulnerabilidades más delicadas de Windows Defender descubiertas este año, pero el problema no ha terminado. BlueHammer, identificada como CVE-2026-33825, ya ha sido corregida en las actualizaciones de seguridad de abril, mientras que RedSun y UnDefend siguen sin parche oficial a fecha de hoy. Lo más preocupante es que investigadores y firmas de seguridad ya han visto estas técnicas en actividad real, aunque no en todos los casos con éxito completo.
El caso se ha convertido en uno de los episodios de seguridad más incómodos para Microsoft en 2026 porque no hablamos de una sola prueba de concepto publicada en GitHub y olvidada después, sino de un grupo de herramientas que ya ha saltado del laboratorio al entorno de intrusión. Huntress confirmó el 20 de abril que observó BlueHammer, RedSun y UnDefend durante una investigación real, vinculada además a un acceso sospechoso por FortiGate SSL VPN y a actividad manual posterior dentro del entorno comprometido.
Qué ha pasado exactamente
El origen público del problema está en los repositorios publicados por un investigador que usa los alias Chaotic Eclipse y Nightmare-Eclipse, donde aparecieron herramientas llamadas BlueHammer, RedSun y UnDefend. La primera fue la que recibió respuesta oficial más rápida por parte de Microsoft: la compañía la parcheó en su ciclo de actualizaciones de abril bajo el identificador CVE-2026-33825 y, además, reconoció que esa vulnerabilidad ya estaba siendo explotada antes del parche.
BlueHammer es, en esencia, una técnica de escalada local de privilegios contra Microsoft Defender. Huntress la describe como un abuso de una condición de carrera de tipo TOCTOU en Defender, capaz de elevar a un atacante desde una cuenta sin privilegios hasta SYSTEM, el nivel más alto de control dentro de Windows. Eso abre la puerta a volcado de credenciales, persistencia y movimiento lateral dentro de una red corporativa.
El problema es que BlueHammer no llegó sola. Poco después aparecieron RedSun y UnDefend, dos nuevas técnicas que amplían la presión sobre Defender. Según Huntress, RedSun también puede utilizarse para elevar privilegios hasta SYSTEM, mientras que UnDefend apunta a degradar o interrumpir la capacidad de Defender para mantener actualizadas sus firmas y protecciones. A fecha del informe de Huntress, ambas seguían sin parche por parte de Microsoft.
Qué hace cada una de estas amenazas
La siguiente tabla resume la situación conocida hasta ahora:
| Vulnerabilidad | Tipo de riesgo | Estado del parche | Situación conocida |
|---|---|---|---|
| BlueHammer | Escalada local de privilegios en Microsoft Defender | Parcheada en abril de 2026 como CVE-2026-33825 | Microsoft confirmó explotación previa al parche |
| RedSun | Escalada local de privilegios hasta SYSTEM | Sin parche oficial | Huntress la ha visto en actividad real |
| UnDefend | Interferencia con Defender y sus actualizaciones | Sin parche oficial | Huntress la ha visto en actividad real |
Los datos de esta tabla proceden del Security Update Guide de Microsoft y del análisis publicado por Huntress.
RedSun ha llamado especialmente la atención porque, según análisis técnicos publicados por Cyderes y otros investigadores, aprovecha la interacción entre funciones legítimas de Windows —como Volume Shadow Copy, la Cloud Files API y redirecciones del sistema de archivos— para terminar escribiendo un binario controlado por el atacante en una ruta privilegiada del sistema. Es decir, no rompe Windows de forma “mágica”, sino que encadena varios comportamientos legítimos hasta convertirlos en una vía de escalada.
UnDefend, en cambio, no persigue tanto tomar SYSTEM como debilitar Defender desde dentro. Huntress explica que la herramienta observa las paradas y reinicios del servicio WinDefend y bloquea ciertos archivos base de firmas para impedir que Defender recargue correctamente su base de protección. El resultado puede ser una degradación seria del antivirus nativo de Windows, algo especialmente delicado en empresas que dependen de él como primera barrera.
Lo más preocupante: ya no es teoría
La parte más incómoda de todo este caso es que las herramientas ya han aparecido en una intrusión real. Huntress detalló que encontró binarios con nombres como FunnyApp.exe, RedSun.exe, undef.exe y z.exe en carpetas de usuario como Pictures y subdirectorios cortos dentro de Downloads. También observó comandos manuales de reconocimiento como whoami /priv, cmdkey /list y net group, además de un binario adicional al que bautizó como BeigeBurrow, aparentemente usado como túnel de acceso posterior.
Ahora bien, conviene introducir un matiz importante. Huntress también señala que, en el caso analizado, ninguna de estas herramientas parece haber logrado su objetivo final con éxito completo y que el atacante cometió errores al usar UnDefend. Eso no reduce la gravedad del asunto, pero sí obliga a evitar titulares simplistas del tipo “millones de equipos han sido comprometidos ya” sin pruebas sólidas de ese alcance. Lo correcto hoy es decir que existe uso real en intrusión, no necesariamente explotación exitosa masiva y generalizada.
Qué implica esto para usuarios y empresas
Para el usuario doméstico, la recomendación inmediata es clara: tener instaladas las actualizaciones de abril de 2026 para asegurarse de que BlueHammer queda corregida. También conviene vigilar cualquier comportamiento extraño en Defender y evitar ejecutar binarios de procedencia dudosa, incluso si parecen herramientas “de prueba” o utilidades publicadas en GitHub.
Para empresas y administradores, el problema es más serio. Huntress recomienda tratar cualquier ejecución de BlueHammer, RedSun o UnDefend como una actividad de respuesta a incidentes de alta prioridad. Entre las medidas más inmediatas están revisar telemetría de endpoints en rutas de usuario poco habituales, buscar binarios con los nombres asociados a estas PoC y comprobar con cuidado la seguridad del acceso VPN, en especial en entornos con FortiGate SSL VPN expuestos.
La lectura de fondo también es incómoda para Microsoft. Haber parcheado BlueHammer es importante, pero deja una sensación a medias cuando RedSun y UnDefend siguen sin corrección oficial mientras ya se discuten y prueban públicamente. El caso vuelve a demostrar que, en seguridad, no basta con cerrar una vulnerabilidad concreta si alrededor aparecen variantes o técnicas relacionadas que atacan el mismo perímetro de confianza.
Preguntas frecuentes
¿Qué vulnerabilidad de las tres ha parcheado ya Microsoft?
Microsoft ha corregido BlueHammer en abril de 2026 como CVE-2026-33825. Además, la compañía reconoció que esta vulnerabilidad ya estaba siendo explotada antes de publicar el parche.
¿RedSun y UnDefend siguen sin parche?
Sí. Huntress indicó el 20 de abril de 2026 que ambas seguían sin parche oficial en el momento de publicar su investigación.
¿Se están usando ya en ataques reales?
Sí, Huntress observó actividad relacionada con BlueHammer, RedSun y UnDefend durante una intrusión real. Aun así, también aclaró que en ese caso las herramientas no parecieron completar con éxito pleno sus objetivos finales.
¿Afectan solo a empresas o también a usuarios normales?
Son técnicas de escalada local de privilegios y manipulación de Defender, así que pueden afectar a cualquier sistema Windows vulnerable. El riesgo operativo más grave aparece en entornos corporativos, donde un atacante puede usar esa elevación para moverse lateralmente, persistir o robar credenciales.
