Se ha identificado una vulnerabilidad de seguridad crítica que afecta a millones de auriculares y audífonos Bluetooth. Esta falla permitiría a atacantes tomar control remoto de los dispositivos y espiar a los usuarios sin necesidad de autenticación o emparejamiento.
Origen del Ataque y Acceso Inicial
La intrusión se originó a través de un ataque sistemático de «pulverización de contraseñas» dirigido a un servidor RDP con acceso a internet. Este ataque se llevó a cabo durante un período de cuatro horas, buscando credenciales válidas.
Compromiso de Cuentas y Actores de Amenazas
Los actores de amenazas, operando desde las direcciones IP 185.190.24[.]54 y 185.190.24[.]33, lograron comprometer seis cuentas de usuario. Es importante destacar que la inteligencia de código abierto ha confirmado que estas direcciones IP tienen un historial previo de actividades maliciosas dirigidas a interfaces administrativas y firewalls.
Tácticas de los Atacantes
Los atacantes demostraron paciencia y perseverancia, esperando varias horas después de una autenticación exitosa antes de iniciar su fase de reconocimiento. Esta metodología de «lento y gradual» les permitió evadir los sistemas de detección diseñados para identificar ataques rápidos de fuerza bruta.
Los defectos críticos permiten la adquisición completa del dispositivo
El aviso de seguridad revela tres vulnerabilidades críticas, como:
- CVE-2025-20700 (Falta autenticación para servicios del GATT)
- CVE-2025-20701 (Falta autenticación para Bluetooth BR/EDR)
- CVE-2025-20702 (Capacidades críticas de un protocolo personalizado)
Estas fallas exponen un poderoso protocolo personalizado a través de BLE GATT (Perfil de atributo genérico de baja energía de Bluetooth) y canales RFCOMM a través de Bluetooth Classic, lo que permite a los atacantes leer y escribir en la RAM y la memoria flash del dispositivo sin ninguna autenticación.
Las vulnerabilidades afectan tanto a las conexiones Bluetooth BR/EDR (Bluetooth Classic) como a Bluetooth Low Energy (BLE), y solo requieren que los atacantes estén dentro del alcance de Bluetooth de aproximadamente 10 metros.
Una vez explotados, los hackers pueden ejecutar ataques sofisticados, incluida la lectura de los medios que se están reproduciendo actualmente desde la RAM del dispositivo, el establecimiento de conexiones HFP (perfil de manos libres) no autorizadas para escuchar a través de micrófonos y la extracción de claves de enlace Bluetooth de la memoria flash para hacerse pasar por dispositivos confiables.
Una vez dentro de la red, los atacantes implementaron sofisticadas herramientas de recolección de credenciales, principalmente Mimikatz y CredentialsFileView de Nirsoft.
Los investigadores de seguridad notaron el enfoque metódico de los atacantes para la extracción de credenciales, apuntando a la memoria del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS) para volcar las credenciales directamente desde los procesos del sistema.
Los actores de amenazas utilizaron comandos de Mimikatz como ‘sekurlsa::logonpasswords’ y ‘lsadump::dcsync’ para extraer las credenciales de administrador de dominio en varios dominios secundarios.
Los atacantes generaron archivos de salida CSV correspondientes a cada dominio, lo que sugiere que estaban verificando sistemáticamente el acceso administrativo en toda la infraestructura corporativa, se lee en el informe.
Los operadores de RansomHub combinaron técnicas tradicionales de «vivir de la tierra» con herramientas comerciales de escaneo de redes para un descubrimiento integral de la red. Aprovecharon los comandos integrados de Windows, incluidos net, nslookup, nltest, ipconfig y ping, para enumerar usuarios, grupos, confianzas de dominio y topología de red.
Además, los atacantes descargaron e implementaron Advanced IP Scanner y las herramientas NetScan de SoftPerfect para un reconocimiento de red más extenso.
Estas herramientas legítimas de administración de redes permitieron a los actores de amenazas identificar sistemas activos, puertos abiertos y posibles objetivos de movimiento lateral en todo el entorno comprometido.
