Inicio » Zero Day Unit » EXPLOTACION ACTIVA CVE-2025-53521 EN F5 BIG-IP POR ACTOR AVANZADO
⏱ 2 min lectura · Publicado el 15 de mayo de 2026
BTU-FLARE-219100 · HIGHSCORE 53/100 · 6/8 TIFE
THREAT ACTOR

APT29

CVE-2025-53521 · F5 BIG-IP POR ACTOR AVANZADO
T1190T1499.004T1053T1059.004APT29
FLARE by Blacktrace · TIFE15 de mayo de 2026, 20:59 MX
BTU-FLARE-219100HIGH
Verificado por 6/8 motores TIFE

EXPLOTACION ACTIVA CVE-2025-53521 EN F5 BIG-IP POR ACTOR AVANZADO

Situación

Se detecta explotacion activa de vulnerabilidad critica CVE-2025-53521 (CVSS 9.3) en dispositivos F5 BIG-IP, con prioridad operativa 8.0/10. Actor con perfil consistente con APT29 ejecuta ataques dirigidos contra infraestructura perimetral corporativa. La vulnerabilidad permite ejecucion remota de codigo sin autenticacion en appliances de balanceo de carga y proxy inverso ampliamente desplegados en sector empresarial mexicano y LATAM.

CISA confirma explotacion en entornos productivos agregando CVE-2025-53521 al catalogo Known Exploited Vulnerabilities con deadline marzo 27, 2026. Telemetria del SOC operativo QMA verifica 18 indicadores de compromiso activos con deteccion maxima de 58 motores en VirusTotal. Inteligencia de fuentes abiertas reporta campana sostenida contra objetivos de infraestructura critica utilizando tecnicas de persistencia y movimiento lateral post-explotacion.

Indicadores verificados

TipoIndicadorVTFuenteAcciones
md56548893fd422f8e2de119315021d145258/71AlienVault OTXVT
md539ccec65948043d2eb94b337de26f9d455/70AlienVault OTXVT
md5014f38401b98d524c4e536f9a631c1dc55/71AlienVault OTXVT
md51094a1b6c1fd150d4d261c00c198910d54/71AlienVault OTXVT
md5248adc657147080193ea31d9bf4910e954/71AlienVault OTXVT
md56925c9ed231e0e3094092c5250fbede554/71AlienVault OTXVT
md5553f3b346dc67cb1e6366a5a9deacf5454/71AlienVault OTXVT
md55c99b47d7db86146e62875282af1674653/71AlienVault OTXVT

Contexto TIFE

Convergencia de 58 motores de deteccion confirma actividad maliciosa coordinada. Observacion de tecnicas MITRE T1190 (Exploit Public-Facing Application), T1499.004 (Application Exhaustion Flood), T1053 (Scheduled Task/Job), T1059.004 (Unix Shell), T1543.002 (Systemd Service) indica operacion multi-etapa con objetivos de persistencia. Patron de IOCs consistente con campanas previas de grupo con capacidades estatales dirigidas a infraestructura de comunicaciones. Timing de explotacion coincide con ventana de patcheo corporativo retrasado post-vacacional.

T1190 T1499.004 T1053 T1059.004 T1543.002 APT29 (probable) NIST CSF

Acción recomendada

SOC: verificacion inmediata de logs F5 BIG-IP por IOCs verificados, implementacion de reglas de deteccion T1190/T1499.004, monitoreo de conexiones anomalas a puertos de administracion. CISO: auditoria urgente de appliances F5 en DMZ, coordinacion con equipos de red para aplicacion de parche disponible, evaluacion de exposicion perimetral sectorial. Timeline critico: 48-72 horas maximas para mitigacion.

Indicadores de Compromiso · IOC

Evidencia técnica verificada

8.0AP ScoreMetodología →
15IOCs activos
CRITICALSeveridad
CVSS 9.3Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorVTFuenteConfThreatAcciones
MD56548893fd422f8e2de119315021d145258/71otx✓ VTtrojan.stxrat/tedyVTMB
MD539ccec65948043d2eb94b337de26f9d455/70otx✓ VTtrojan.stxrat/outpackVTMB
MD5014f38401b98d524c4e536f9a631c1dc55/71otx✓ VTtrojan.stxrat/mikeyVTMB
MD5553f3b346dc67cb1e6366a5a9deacf5454/71otx✓ VTtrojan.stxrat/tedyVTMB
MD5248adc657147080193ea31d9bf4910e954/71otx✓ VTtrojan.stxrat/outpackVTMB
MD51094a1b6c1fd150d4d261c00c198910d54/71otx✓ VTtrojan.stxrat/mikeyVTMB
MD56925c9ed231e0e3094092c5250fbede554/71otx✓ VTtrojan.stxrat/outpackVTMB
MD50d9b59275e1f6a51ed9dd4b677d23cb353/71otx✓ VTtrojan.stxrat/outpackVTMB
MD50953d11c3695ab3df26b795396bd3c8253/67otx✓ VTtrojan.stxrat/r002c0…VTMB
MD51d7b6b8f16501a238f9bf9f0d508303453/71otx✓ VTtrojan.stxrat/outpackVTMB
MD55c99b47d7db86146e62875282af1674653/71otx✓ VTtrojan.stxrat/mikeyVTMB
MD562a263ca70d206fe1b073b9027efa16552/68otx✓ VTtrojan.stxrat/malgentVTMB
MD553087cc5091d238cf3df86029466646852/68otx✓ VTtrojan.stxrat/mikeyVTMB
MD57bc8137c8f8abe3afc9f449c97003b4a52/71otx✓ VTtrojan.outpack/stxratVTMB
MD5245f0c568d816b2ba3878441bdea997451/67otx✓ VTtrojan.outpack/stxratVTMB
MITRE ATT&CKT1190T1499.004T1053T1059.004T1543.002
ActorAPT29 (probable)
Fuentes verificadas:AlienVault OTXVirusTotal / GTI· TLP:WHITE · 2026-07-19
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. La columna VT muestra positives/total de motores antivirus en VirusTotal/GTI. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.
Scroll al inicio