Investigadores de Sophos han documentado una campaña en la que el grupo DragonForce comprometió un Managed Service Provider (MSP) aprovechando tres fallos críticos en el software RMM SimpleHelp. Desde la consola secuestrada, los atacantes impulsaron el ransomware a decenas de organizaciones aguas abajo y exfiltraron información para presionar el pago, un claro ejemplo de ataque a la cadena de suministro.
¿Cómo funciona el ataque?
Los criminales encadenan las vulnerabilidades divulgadas en enero de 2025:
| CVE | Tipo | Resultado |
|---|---|---|
| 2024-57727 | Path traversal («/allversions») | Descarga de archivos de configuración con hashes y secretos. |
| 2024-57726 | Escalada de privilegios | De técnico con pocos permisos a admin completo. |
| 2024-57728 | Carga arbitraria de ficheros | Ejecución remota de código en el servidor. |
Una vez dentro, los operadores empujan instaladores maliciosos a los endpoints gestionados, realizan reconocimiento (usuarios, red, configuraciones) y despliegan DragonForce con táctica de doble extorsión.
Versiones afectadas y corrección
Todas las instalaciones SimpleHelp ≤ 5.5.7 (Windows, Linux y macOS) son vulnerables. El proveedor publicó la versión 5.5.8 en enero, pero muchos MSP siguen sin aplicar el parche. La CISA añadió CVE-2024-57727 a su catálogo KEV el 13-feb-2025 para forzar la mitigación en sistemas federales.
Impacto potencial
- Compromiso completo del servidor RMM y de todos los clientes gestionados.
- Implantación de ransomware y robo de datos para extorsión múltiple.
- Elevados costes operativos y reputacionales para el MSP y sus clientes finales.
Recomendaciones
- Actualizar inmediatamente a 5.5.8 o posterior.
- Restringir el acceso a la consola RMM por IP/VPN y deshabilitar la exposición pública del endpoint /allversions.
- Revisar logs en busca de descargas sospechosas de
serverconfig.xmly de instaladores SimpleHelp no autorizados. - Aplicar EDR/XDR en los clientes para detectar ejecución anómala de scripts o binarios con nombres aleatorios de tres letras.
- Cambiar todas las credenciales de técnicos y aplicar MFA en la administración de SimpleHelp.
Más información
- CyberSecurityNews – Ransomware Actors Exploit Unpatched SimpleHelp RMM to Compromise Billing Software Provider (13 jun 2025) https://cybersecuritynews.com/ransomware-actors-exploit-unpatched-simplehelp-rmm/cybersecuritynews.com
- Sophos – DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers (27 may 2025) https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/news.sophos.com
- SecurityWeek – DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities (27 may 2025) https://www.securityweek.com/dragonforce-ransomware-hackers-exploiting-simplehelp-vulnerabilities/
La entrada DragonForce explota SimpleHelp sin parche para implantar ransomware en clientes de un MSP se publicó primero en Una Al Día.