Inicio » Zero Day Unit » VULNERABILIDAD CRITICA LARAVEL LIVEWIRE BAJO EXPLOTACION ACTIVA
⏱ 2 min lectura · Publicado el 15 de mayo de 2026
BTU-FLARE-041255 · ELEVATEDSCORE 35/100 · 5/8 TIFE
THREAT ACTOR

Scattered Spider

CVE-2025-54068 · CVE-2025-54068
T1190T1059.004T1203T1059Scattered Spider
FLARE by Blacktrace · TIFE15 de mayo de 2026, 19:02 MX
BTU-FLARE-041255ELEVATED
Verificado por 5/8 motores TIFE

VULNERABILIDAD CRITICA LARAVEL LIVEWIRE BAJO EXPLOTACION ACTIVA

Situación

Se detectó explotación activa de CVE-2025-54068 en Laravel Livewire con puntuación CVSS 9.8 y prioridad operativa 9.1/10. La vulnerabilidad permite ejecución remota de código sin autenticación en aplicaciones web que utilizen este framework popular en desarrollo PHP. CISA incorporó la vulnerabilidad al catálogo KEV con fecha límite de remediación 20 marzo 2026, confirmando explotación en entornos federales.

Inteligencia de fuentes abiertas indica actividad consistente con el perfil operativo de Scattered Spider, grupo conocido por campañas de ransomware y acceso inicial via vulnerabilidades web. Telemetría del SOC operativo QMA muestra técnicas MITRE T1190 (Exploit Public-Facing Application) y T1059.004 (Unix Shell) en la cadena de ataque. El conjunto de 58 IOCs presenta detección máxima de 14 motores en VirusTotal, sugiriendo campaña sofisticada con infraestructura rotativa.

Indicadores verificados

TipoIndicadorVTFuenteAcciones
domainwww.xt24.com14/92AlienVault OTXVT
domainakamai.com0/92AlienVault OTXVT
domainrecaptcha-cn.net0/92AlienVault OTXVT
sha2566c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5fAlienVault OTXVT
sha256c8589ca999526f247db4d3902ade8a85619f8f82338c6230d1b935f413ddcb3dAlienVault OTXVT
urlhttp://157.20.182.49:10443/successAlienVault OTXVT
sha256bedb882c6e2cf896e14ecf12c90aaa6638f780017d1b8687a40b4a81956e230fAlienVault OTXVT
urlhttp://194.11.246.101:1338AlienVault OTXVT

Contexto TIFE

La convergencia de fuentes revela patrón de explotación multi-técnica abarcando T1203 (Exploitation for Client Execution), T1189 (Drive-by Compromise) y múltiples variantes T1059 para ejecución de comandos. La relación con campañas previas de Scattered Spider se evidencia en la metodología de acceso inicial web seguida de escalación via shells Unix/JavaScript. Verificación via MITRE ATT&CK confirma consistencia con TTPs documentadas del actor en operaciones contra servicios cloud y frameworks web populares.

T1190 T1059.004 T1203 T1059 T1059.007 Scattered Spider (probable) NIST CSF

Acción recomendada

SOC: Implementar monitoreo inmediato de aplicaciones Laravel Livewire, buscar patrones T1190 en logs web, verificar integridad de shells remotos. Aplicar patch disponible con máxima urgencia. CISO: Evaluar exposición sectorial de aplicaciones PHP/Laravel, coordinar remediación antes del deadline CISA marzo 2026. Urgencia: inmediata para sistemas expuestos.

Indicadores de Compromiso · IOC

Evidencia técnica verificada

9.1AP ScoreMetodología →
15IOCs activos
CRITICALSeveridad
CVSS 9.8Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorVTFuenteConfThreatAcciones
Domainwww.xt24.com14/92otx75%VT
Domainrecaptcha-cn.net0/92otx40%VT
Domainakamai.com0/92otx40%VT
SHA2566c8efbcef3af80a574cb2aa2...ceb22d5fotx75%VTMB
SHA256c8589ca999526f247db4d390...13ddcb3dotx75%VTMB
URLhttp://157.20.182.49:10443/successotx75%VT
SHA256bedb882c6e2cf896e14ecf12...956e230fotx75%VTMB
SHA2560748d9443cfa33be9b02b662...5291e33aotx75%VTMB
SHA2560961e8af4cca4b9d263d175a...43bab10fotx75%VTMB
SHA2560be0c0b54559256f44b3cc6a...5aa4b942otx75%VTMB
SHA2561beed7ab694cd1f4e007245d...298f6377otx75%VTMB
SHA2561e4748c2070a6f01ff3360f5...500d4373otx75%VTMB
SHA25620d56cb6ec146f3f2789435c...efe60c4aotx75%VTMB
SHA2565c47949ede4f31d18d474faa...3d8c1a20otx75%VTMB
URLhttp://194.11.246.101:1338otx75%VT
MITRE ATT&CKT1190T1059.004T1203T1059T1059.007
ActorScattered Spider (probable)
Fuentes verificadas:AlienVault OTXVirusTotal / GTI· TLP:WHITE · 2026-07-19
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. La columna VT muestra positives/total de motores antivirus en VirusTotal/GTI. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.
Scroll al inicio