EXPLOTACIÓN ACTIVA CVE-2025-32975 EN QUEST KACE DETECTADA EN LATAM
Situación
Inteligencia de fuentes abiertas confirma explotación activa de CVE-2025-32975 (CVSS 10.0) afectando Quest KACE Systems Management Appliance. La vulnerabilidad permite escalación de privilegios y persistencia sin autenticación, siendo añadida al catálogo CISA KEV con fecha límite 20-abril-2026. Telemetría del SOC operativo QMA detectó 14 indicadores de compromiso con verificación vía VirusTotal alcanzando 56 motores de detección positiva. El actor no confirmado presenta perfil técnico consistente con Volt Typhoon, conocido por campañas prolongadas contra infraestructura crítica en la región. Quest ha liberado parches de emergencia para todas las versiones afectadas del appliance SMA.
Indicadores verificados
| Tipo | Indicador | VT | Fuente | Acciones |
|---|---|---|---|---|
| md5 | e1ec76a0e1f48901566d53828c34b5dc | 56/71 | AlienVault OTX | VT |
| md5 | 83b7a106a5e810a1781e62b278909396 | 50/72 | AlienVault OTX | VT |
| md5 | 1fc0a876a121882ffaad6677f444cf5b | 28/62 | AlienVault OTX | VT |
| sha1 | ea690c3acfa6592c601e4b5dd6122805063bac53 | — | AlienVault OTX | VT |
| sha256 | 86db2530298e6335d3ecc66c2818cfbd0a6b11fcdfcb75f575b9fcce1faa00f1 | — | AlienVault OTX | VT |
| sha256 | ab6677fcbbb1ff4a22cc3e7355e1c36768ba30bbf5cce36f4ec7ae99f850e6c5 | — | AlienVault OTX | VT |
| sha256 | b1b2f1e36dcaa36bc587fda1ddc3cbb8e04c3df5f1e3f1341c9d2ec0b0b0ffaf | — | AlienVault OTX | VT |
| ipv4 | 45.148.10.212 | — | AlienVault OTX | VT |
Contexto TIFE
La convergencia de múltiples fuentes confirma técnicas MITRE T1078 (Valid Accounts), T1556 (Modify Authentication Process) y T1110.001 (Password Spraying) en vectores de ataque observados. Los indicadores muestran consistencia con metodologías de persistencia administrativa documentadas en campañas previas contra proveedores de servicios gestionados en México y Centroamérica. La inclusión en CISA KEV y el conjunto robusto de IOCs verificados confirman actividad maliciosa sostenida con prioridad operativa 8.7/10.
Acción recomendada
SOC: Auditoría inmediata de instancias Quest KACE, monitoreo de autenticaciones administrativas anómalas, implementación de parches disponibles en ventana de mantenimiento de emergencia. CISO: Evaluación crítica de proveedores de gestión de sistemas, revisión de segmentación de appliances de gestión. Urgencia: 48-72 horas para organizaciones con Quest KACE en producción.
Evidencia técnica verificada
| Tipo | Indicador | VT | Fuente | Conf | Threat | Acciones |
|---|---|---|---|---|---|---|
| MD5 | e1ec76a0e1f48901566d53828c34b5dc | 56/71 | otx | ✓ VT | trojan.ulise/mikey | VTMB |
| MD5 | 83b7a106a5e810a1781e62b278909396 | 50/72 | otx | ✓ VT | trojan.purelogs/msil | VTMB |
| MD5 | 1fc0a876a121882ffaad6677f444cf5b | 28/62 | otx | ✓ VT | trojan.gafgyt/tl0101… | VTMB |
| SHA1 | ea690c3acfa6592c601e4b5dd6122805063bac53 | — | otx | 75% | — | VTMB |
| SHA256 | 86db2530298e6335d3ecc66c...1faa00f1 | — | otx | 75% | — | VTMB |
| SHA256 | ab6677fcbbb1ff4a22cc3e73...f850e6c5 | — | otx | 75% | — | VTMB |
| SHA256 | b1b2f1e36dcaa36bc587fda1...b0b0ffaf | — | otx | 75% | — | VTMB |
| IPv4 | 45.148.10.212 | — | otx | 75% | — | VTSH |
| IPv4 | 103.177.110.202 | — | otx | 75% | — | VTSH |
| IPv4 | 94.154.172.43 | — | otx | 75% | — | VTSH |
| URL | http://103.177.110.202/bot_x64.exe | — | otx | 75% | — | VT |
| SHA256 | f79d05065a2ba7937b8781e6...a5e37f9b | — | otx | 75% | — | VTMB |
| SHA1 | d3beab2e2252a13d5689e9911c2b2b2fc3a41086 | — | otx | 75% | — | VTMB |
| SHA1 | deb4b5841eea43cb8c5777ee33ee09bf294a670d | — | otx | 75% | — | VTMB |


