Los investigadores de ciberseguridad han descubierto una sofisticada campaña de malware que explota los archivos de índice de ayuda de Microsoft (.mshi) para ofrecer la notoria puerta trasera pipemagic, marcando una evolución significativa en las tácticas de los actores de amenaza desde la primera detección del malware en 2022.
La campaña, que ha dirigido a organizaciones en Arabia Saudita y Brasil a lo largo de 2025, demuestra el refinamiento continuo de los atacantes de sus métodos de infección y mecanismos de persistencia.
Pipemagic surgió inicialmente en diciembre de 2022 durante una campaña de ransomware Ransomexx dirigida a empresas industriales en el sudeste asiático.
El malware ganó prominencia cuando luego se descubrió explotando CVE-2025-29824, una vulnerabilidad que Microsoft identificó como explotada activamente en la naturaleza durante su ciclo de parche de abril de 2025.
Los operadores de la puerta trasera han demostrado una notable adaptabilidad, la transición de explotar la vulnerabilidad CVE-2017-0144 en sus primeras campañas para emplear técnicas de ingeniería social más sofisticadas en ataques recientes.
Pantalla en blanco de la aplicación falsa (fuente – Securelist)
La última iteración de Pipemagic ha ampliado su alcance geográfico, con investigadores de seguridad identificación Infecciones en múltiples regiones.
El malware mantiene su funcionalidad central como una puerta trasera versátil capaz de operar en dos modos distintos: como una herramienta de acceso remoto integral y como una puerta de enlace de red para el movimiento lateral dentro de la infraestructura comprometida.
Lo que distingue la campaña 2025 es el uso innovador de los atacantes de los archivos de índice de ayuda de Microsoft como un vector de infección inicial.
Estos archivos, que generalmente contienen metadatos para la documentación de ayuda de Microsoft, se han armado para transportar el código C# ofondeado junto con las cargas útiles cifradas.
Los archivos .mshi maliciosos aprovechan el marco legítimo de MSBuild para la ejecución, evitando efectivamente los controles de seguridad tradicionales que podrían marcar formatos ejecutables más convencionales.
Mecanismo de infección avanzada a través de la explotación de msbuild
La cadena de infección comienza cuando las víctimas ejecutan el metafile malicioso.mshi, que contiene un código C# muy ofuscado combinado con una extensa cadena hexadecimal.
Contenido de Metafile.mshi (fuente – Securelist)
La ejecución ocurre a través de una secuencia de línea de comandos cuidadosamente elaborada:-
c: \ windows \ system32 \ cmd.exe “/kc:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe c: \ w
El código C# integrado realiza funciones duales dentro del proceso de infección. Primero, descifra el código de caparazón de acompañamiento utilizando el cifrado RC4 Stream con una clave hexadecimal de 64 caracteres dureza (4829468622e6b82ff056e3c945dd99c94a1f0264d98074828aadda326b775e5).
Después de un descifrado exitoso, el código ejecuta el shellcode a través de la función API de Windows enumdevicemonitor, utilizando una técnica que inserta el puntero de shellcode en el tercer parámetro de la función mientras establece los dos primeros parámetros en cero.
El Code de shell de descifrado contiene un código ejecutable diseñado específicamente para sistemas Windows de 32 bits. Emplea técnicas de evasión sofisticadas, incluido el análisis de la tabla de exportación y los algoritmos de hashing FNV-1A para resolver dinámicamente las direcciones API del sistema, lo que hace que el análisis estático sea considerablemente más desafiante.
El código de shell finalmente carga un ejecutable sin cifrar incrustado dentro de su propia estructura, estableciendo la presencia de la puerta trasera pipemágica en el sistema comprometido y permitiendo la comunicación a través de su característica infraestructura de tubería a 127.0.0.1:8082.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
