Mandiant Threat Defense của Google hôm thứ Hai cho biết họ đã phát hiện việc khai thác n-day một lỗ hổng bảo mật đã được vá trong nền tảng chia sẻ tệp và truy cập từ xa Triofox của Gladinet.
Lỗ hổng nghiêm trọng này, được theo dõi là CVE-2025-12480 (điểm CVSS: 9.1), cho phép kẻ tấn công bỏ qua xác thực và truy cập các trang cấu hình, dẫn đến việc tải lên và thực thi các payload tùy ý.
Gã khổng lồ công nghệ cho biết họ đã quan sát thấy một nhóm mối đe dọa được theo dõi là UNC6485 đã vũ khí hóa lỗ hổng này ngay từ ngày 24 tháng 8 năm 2025, gần một tháng sau khi Gladinet phát hành các bản vá lỗi cho lỗ hổng trong phiên bản 16.7.10368.56560. Điều đáng chú ý là CVE-2025-12480 là lỗ hổng thứ ba trong Triofox đã bị khai thác tích cực chỉ trong năm nay, sau CVE-2025-30406 và CVE-2025-11371.
"Đã thêm bảo vệ cho các trang cấu hình ban đầu," theo ghi chú phát hành phần mềm. "Những trang này không còn có thể truy cập được sau khi Triofox đã được thiết lập."
Mandiant cho biết tác nhân đe dọa đã vũ khí hóa lỗ hổng truy cập không xác thực để giành quyền truy cập vào các trang cấu hình, và sau đó sử dụng chúng để tạo một tài khoản quản trị viên gốc mới, Cluster Admin, bằng cách chạy quy trình thiết lập. Tài khoản mới được tạo sau đó đã được sử dụng để thực hiện các hoạt động tiếp theo.
"Để đạt được việc thực thi mã, kẻ tấn công đã đăng nhập bằng tài khoản Admin mới được tạo. Kẻ tấn công đã tải lên các tệp độc hại để thực thi chúng bằng tính năng antivirus tích hợp sẵn," các nhà nghiên cứu bảo mật Stallone D'Souza, Praveeth DSouza, Bill Glynn, Kevin O'Flynn và Yash Gupta cho biết.
"Để thiết lập tính năng antivirus, người dùng được phép cung cấp một đường dẫn tùy ý cho antivirus đã chọn. Tệp được cấu hình làm vị trí quét antivirus kế thừa các đặc quyền tài khoản của tiến trình cha Triofox, chạy trong ngữ cảnh tài khoản SYSTEM."
Những kẻ tấn công, theo Mandiant, đã chạy script batch độc hại của chúng ("centre_report.bat") bằng cách cấu hình đường dẫn của công cụ antivirus để trỏ đến script. Script này được thiết kế để tải xuống trình cài đặt cho Zoho Unified Endpoint Management System (UEMS) từ 84.200.80[.]252, và sử dụng nó để triển khai các chương trình truy cập từ xa như Zoho Assist và AnyDesk trên máy chủ.
Quyền truy cập từ xa do Zoho Assist cung cấp đã được tận dụng để thực hiện trinh sát, sau đó là các nỗ lực thay đổi mật khẩu cho các tài khoản hiện có và thêm chúng vào các quản trị viên cục bộ và nhóm "Domain Admins" để leo thang đặc quyền.
Để tránh bị phát hiện, các tác nhân đe dọa đã tải xuống các công cụ như Plink và PuTTY để thiết lập một đường hầm được mã hóa đến máy chủ command-and-control (C2) qua cổng 433 qua SSH với mục tiêu cuối cùng là cho phép lưu lượng RDP đến.
Mặc dù mục tiêu cuối cùng của chiến dịch vẫn chưa được biết, nhưng người dùng Triofox nên cập nhật lên phiên bản mới nhất, kiểm tra các tài khoản quản trị viên và xác minh rằng công cụ antivirus của Triofox không được cấu hình để thực thi các script hoặc binary trái phép.
