Хакерская группировка, отслеживаемая как UNC6485, активно использует критическую уязвимость в программном обеспечении Triofox от компании Gladinet. Согласно отчету подразделения Google Mandiant Threat Defense, злоумышленники нацелены на установку инструментов удаленного доступа для получения постоянного контроля над скомпрометированными системами.
Уязвимость, получившая идентификатор CVE-2025-12480, имеет оценку 9.1 по шкале CVSS, что характеризует ее как критическую. Она позволяет атакующему обойти аутентификацию и получить доступ к страницам конфигурации Triofox, платформы для обмена файлами и удаленного доступа. Это открывает возможность для загрузки и выполнения произвольного вредоносного кода.
Атака, зафиксированная исследователями Mandiant, проходит в четыре этапа. Сначала злоумышленники эксплуатируют CVE-2025-12480 для несанкционированного доступа к страницам настройки Triofox. Затем они запускают процесс установки и создают новую учетную запись администратора с именем "Cluster Admin".
Получив административные права, хакеры прибегают к нетривиальной тактике. Они входят в систему под новой учетной записью и изменяют конфигурацию встроенной функции антивирусного сканирования. Путь к исполняемому файлу антивируса подменяется на путь к их собственному вредоносному файлу.
Этот метод позволяет выполнить код с наивысшими системными привилегиями. Файл, замаскированный под антивирусный сканер, наследует привилегии родительского процесса и запускается от имени учетной записи SYSTEM, предоставляя атакующим полный контроль над операционной системой Windows.
После успешного проникновения UNC6485 использует пакетный скрипт под названием
С помощью легитимного установщика Zoho злоумышленники развертывают программы для удаленного доступа, такие как Zoho Assist и AnyDesk. Эти инструменты используются для обеспечения постоянного присутствия в скомпрометированной сети и дальнейшего управления ею.
Для сокрытия своей активности и обхода защитных механизмов хакеры применяют утилиты Plink и PuTTY. С их помощью они создают зашифрованный SSH-туннель на порт 433 к своему командно-контрольному серверу (C2), что позволяет незаметно осуществлять входящий трафик по протоколу удаленного рабочего стола (RDP).
Эксплуатация уязвимости группировкой UNC6485 была зафиксирована еще 24 августа 2025 года. Примечательно, что это произошло почти через месяц после того, как компания Gladinet выпустила исправление. Это классифицирует атаку как "n-day" эксплойт, нацеленный на системы, которые не были обновлены своевременно.
Проблема является системной: CVE-2025-12480 стала уже третьей уязвимостью в Triofox, которая активно эксплуатируется в текущем году. Ранее были зафиксированы атаки с использованием CVE-2025-30406 и CVE-2025-11371.
Компания Gladinet выпустила исправление в версии Triofox 16.7.10368.56560. В примечаниях к выпуску указано: «Добавлена защита для страниц начальной конфигурации. Эти страницы больше не могут быть доступны после завершения настройки Triofox.»
Исследование Mandiant было проведено группой экспертов, в которую вошли Сталлоне Д'Суза, Правит Д'Суза, Билл Глинн, Кевин О'Флинн и Яш Гупта. Они рекомендуют всем пользователям Triofox немедленно обновить программное обеспечение до последней версии, провести аудит учетных записей администраторов на предмет несанкционированных добавлений и проверить, что конфигурация антивирусного движка не была изменена для выполнения сторонних скриптов или бинарных файлов.
Изображение носит иллюстративный характер
Уязвимость, получившая идентификатор CVE-2025-12480, имеет оценку 9.1 по шкале CVSS, что характеризует ее как критическую. Она позволяет атакующему обойти аутентификацию и получить доступ к страницам конфигурации Triofox, платформы для обмена файлами и удаленного доступа. Это открывает возможность для загрузки и выполнения произвольного вредоносного кода.
Атака, зафиксированная исследователями Mandiant, проходит в четыре этапа. Сначала злоумышленники эксплуатируют CVE-2025-12480 для несанкционированного доступа к страницам настройки Triofox. Затем они запускают процесс установки и создают новую учетную запись администратора с именем "Cluster Admin".
Получив административные права, хакеры прибегают к нетривиальной тактике. Они входят в систему под новой учетной записью и изменяют конфигурацию встроенной функции антивирусного сканирования. Путь к исполняемому файлу антивируса подменяется на путь к их собственному вредоносному файлу.
Этот метод позволяет выполнить код с наивысшими системными привилегиями. Файл, замаскированный под антивирусный сканер, наследует привилегии родительского процесса и запускается от имени учетной записи SYSTEM, предоставляя атакующим полный контроль над операционной системой Windows.
После успешного проникновения UNC6485 использует пакетный скрипт под названием
centre_report.bat. Этот скрипт загружает установщик системы управления конечными точками Zoho Unified Endpoint Management System (UEMS) с IP-адреса 84.200.80[.]252. С помощью легитимного установщика Zoho злоумышленники развертывают программы для удаленного доступа, такие как Zoho Assist и AnyDesk. Эти инструменты используются для обеспечения постоянного присутствия в скомпрометированной сети и дальнейшего управления ею.
Для сокрытия своей активности и обхода защитных механизмов хакеры применяют утилиты Plink и PuTTY. С их помощью они создают зашифрованный SSH-туннель на порт 433 к своему командно-контрольному серверу (C2), что позволяет незаметно осуществлять входящий трафик по протоколу удаленного рабочего стола (RDP).
Эксплуатация уязвимости группировкой UNC6485 была зафиксирована еще 24 августа 2025 года. Примечательно, что это произошло почти через месяц после того, как компания Gladinet выпустила исправление. Это классифицирует атаку как "n-day" эксплойт, нацеленный на системы, которые не были обновлены своевременно.
Проблема является системной: CVE-2025-12480 стала уже третьей уязвимостью в Triofox, которая активно эксплуатируется в текущем году. Ранее были зафиксированы атаки с использованием CVE-2025-30406 и CVE-2025-11371.
Компания Gladinet выпустила исправление в версии Triofox 16.7.10368.56560. В примечаниях к выпуску указано: «Добавлена защита для страниц начальной конфигурации. Эти страницы больше не могут быть доступны после завершения настройки Triofox.»
Исследование Mandiant было проведено группой экспертов, в которую вошли Сталлоне Д'Суза, Правит Д'Суза, Билл Глинн, Кевин О'Флинн и Яш Гупта. Они рекомендуют всем пользователям Triofox немедленно обновить программное обеспечение до последней версии, провести аудит учетных записей администраторов на предмет несанкционированных добавлений и проверить, что конфигурация антивирусного движка не была изменена для выполнения сторонних скриптов или бинарных файлов.
