- CVE-2025-12480 in Triofox maakte zero-day-exploitatie mogelijk via onjuiste toegangscontrole
- UNC6485-aanvallers implementeerden Zoho Assist, AnyDesk en SSH-tunneling voor externe toegang
- Patch uitgebracht op 26 juli; Nieuwste versie van Triofox vanaf 14 oktober beschikbaar voor mitigatie
Het populaire platform voor het op afstand delen en samenwerken van bestanden Triofox had een kritieke kwetsbaarheid die als zero-day werd uitgebuit om een tool voor externe toegang te implementeren die aanvallers laterale bewegingsmogelijkheden gaf.
Beveiligingsonderzoekers van Google’s Mandiant en zijn Threat Intelligence Group (GTIG) meldden dat Triofox wordt geleverd met een ingebouwde antivirusfunctie, die een “onjuiste toegangscontrole” -fout had waardoor toegang tot de initiële installatiepagina’s mogelijk was, zelfs nadat de installatie was voltooid.
De fout, geïdentificeerd als CVE-2025-12480 en kreeg een ernstscore van 9,1/10 (kritiek), werd hoogstwaarschijnlijk begin april 2025 geïntroduceerd en eind juli gepatcht. De aanvallen werden echter bijna een maand later ontdekt, wat erop wijst dat de slachtofferorganisatie de oplossing niet tijdig heeft toegepast.
Wie is UNC6485?
De onderzoekers identificeerden de aanvallers als UNC6485, een aanvalscluster dat in het verleden niet was gerapporteerd.
Omdat echter bekend is dat Google’s Threat Intelligence Team door staten gesponsorde dreigingsactoren in de gaten houdt, is het veilig om aan te nemen dat deze groep mogelijk banden heeft met natiestaten en dat het doel van de campagne gegevensdiefstal of cyberspionage en het verzamelen van inlichtingen was.
Bij de aanval op een anoniem slachtoffer gebruikten de bedreigingsactoren kwaadaardige code om Zoho UEMS in te zetten, waarmee ze Zoho Assist en AnyDesk installeerden, twee legitieme tools die hen zowel toegang op afstand als mogelijkheden voor zijdelingse verplaatsing verleenden.
Ze implementeerden ook de Plink- en PUTTY-tools om een SSH-tunnel te creëren en verkeer op afstand door te sturen.
Het beveiligingslek is op 26 juli gepatcht met Triofox versie 16.7.10368.56560, en gebruikers wordt geadviseerd de patch zo snel mogelijk toe te passen. Bovendien heeft Gladinet (het bedrijf achter Triofox) op 14 oktober een nieuwere versie uitgebracht, 16.10.10408.56683, die indien mogelijk nog beter te installeren zou zijn.
Gaan Slaapcomputer
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws EN voeg ons toe als uw favoriete bron om nieuws, recensies en meningen van onze experts in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxing in videoformaat en ontvang regelmatig updates van ons WhatsApp ook.
