Inicio » Zero Day Unit » EXPLOTACIÓN ACTIVA CVE-2025-32975 EN QUEST KACE DETECTADA EN LATAM
⏱ 2 min lectura · Publicado el 15 de mayo de 2026
BTU-FLARE-421933 · HIGHSCORE 53/100 · 6/8 TIFE
THREAT ACTOR

Volt Typhoon

CVE-2025-32975 · LATAM
T1078.001T1556T1586.003T1550.002Volt Typhoon
FLARE by Blacktrace · TIFE15 de mayo de 2026, 19:04 MX
BTU-FLARE-421933HIGH
Verificado por 6/8 motores TIFE

EXPLOTACIÓN ACTIVA CVE-2025-32975 EN QUEST KACE DETECTADA EN LATAM

Situación

Inteligencia de fuentes abiertas confirma explotación activa de CVE-2025-32975 (CVSS 10.0) afectando Quest KACE Systems Management Appliance. La vulnerabilidad permite escalación de privilegios y persistencia sin autenticación, siendo añadida al catálogo CISA KEV con fecha límite 20-abril-2026. Telemetría del SOC operativo QMA detectó 14 indicadores de compromiso con verificación vía VirusTotal alcanzando 56 motores de detección positiva. El actor no confirmado presenta perfil técnico consistente con Volt Typhoon, conocido por campañas prolongadas contra infraestructura crítica en la región. Quest ha liberado parches de emergencia para todas las versiones afectadas del appliance SMA.

Indicadores verificados

TipoIndicadorVTFuenteAcciones
md5e1ec76a0e1f48901566d53828c34b5dc56/71AlienVault OTXVT
md583b7a106a5e810a1781e62b27890939650/72AlienVault OTXVT
md51fc0a876a121882ffaad6677f444cf5b28/62AlienVault OTXVT
sha1ea690c3acfa6592c601e4b5dd6122805063bac53AlienVault OTXVT
sha25686db2530298e6335d3ecc66c2818cfbd0a6b11fcdfcb75f575b9fcce1faa00f1AlienVault OTXVT
sha256ab6677fcbbb1ff4a22cc3e7355e1c36768ba30bbf5cce36f4ec7ae99f850e6c5AlienVault OTXVT
sha256b1b2f1e36dcaa36bc587fda1ddc3cbb8e04c3df5f1e3f1341c9d2ec0b0b0ffafAlienVault OTXVT
ipv445.148.10.212AlienVault OTXVT

Contexto TIFE

La convergencia de múltiples fuentes confirma técnicas MITRE T1078 (Valid Accounts), T1556 (Modify Authentication Process) y T1110.001 (Password Spraying) en vectores de ataque observados. Los indicadores muestran consistencia con metodologías de persistencia administrativa documentadas en campañas previas contra proveedores de servicios gestionados en México y Centroamérica. La inclusión en CISA KEV y el conjunto robusto de IOCs verificados confirman actividad maliciosa sostenida con prioridad operativa 8.7/10.

T1078.001 T1556 T1586.003 T1550.002 T1078 Volt Typhoon (probable) NIST CSF

Acción recomendada

SOC: Auditoría inmediata de instancias Quest KACE, monitoreo de autenticaciones administrativas anómalas, implementación de parches disponibles en ventana de mantenimiento de emergencia. CISO: Evaluación crítica de proveedores de gestión de sistemas, revisión de segmentación de appliances de gestión. Urgencia: 48-72 horas para organizaciones con Quest KACE en producción.

Indicadores de Compromiso · IOC

Evidencia técnica verificada

8.7AP ScoreMetodología →
14IOCs activos
CRITICALSeveridad
CVSS 10.0Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorVTFuenteConfThreatAcciones
MD5e1ec76a0e1f48901566d53828c34b5dc56/71otx✓ VTtrojan.ulise/mikeyVTMB
MD583b7a106a5e810a1781e62b27890939650/72otx✓ VTtrojan.purelogs/msilVTMB
MD51fc0a876a121882ffaad6677f444cf5b28/62otx✓ VTtrojan.gafgyt/tl0101…VTMB
SHA1ea690c3acfa6592c601e4b5dd6122805063bac53otx75%VTMB
SHA25686db2530298e6335d3ecc66c...1faa00f1otx75%VTMB
SHA256ab6677fcbbb1ff4a22cc3e73...f850e6c5otx75%VTMB
SHA256b1b2f1e36dcaa36bc587fda1...b0b0ffafotx75%VTMB
IPv445.148.10.212otx75%VTSH
IPv4103.177.110.202otx75%VTSH
IPv494.154.172.43otx75%VTSH
URLhttp://103.177.110.202/bot_x64.exeotx75%VT
SHA256f79d05065a2ba7937b8781e6...a5e37f9botx75%VTMB
SHA1d3beab2e2252a13d5689e9911c2b2b2fc3a41086otx75%VTMB
SHA1deb4b5841eea43cb8c5777ee33ee09bf294a670dotx75%VTMB
MITRE ATT&CKT1078.001T1556T1586.003T1550.002T1078
ActorVolt Typhoon (probable)
Fuentes verificadas:AlienVault OTXVirusTotal / GTI· TLP:WHITE · 2026-07-19
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. La columna VT muestra positives/total de motores antivirus en VirusTotal/GTI. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.
Scroll al inicio