Los actores de amenazas han estado explotando una vulnerabilidad de día cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025.
El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito como un exploit de PDF muy sofisticado. El artefacto («Invoice540.pdf») apareció por primera vez en la plataforma VirusTotal el 28 de noviembre de 2025. Se cargó una segunda muestra en VirusTotal el 23 de marzo de 2026.
Dado el nombre del documento PDF, es probable que haya un elemento de ingeniería social involucrado, ya que los atacantes atraen a usuarios desprevenidos para que abran los archivos en Adobe Reader. Una vez iniciado, activa automáticamente la ejecución de JavaScript ofuscado para recopilar datos confidenciales y recibir cargas útiles adicionales.
El investigador de seguridad Gi7w0rm, en una publicación de X, dijo que los documentos PDF observados contienen señuelos en ruso y se refieren a temas relacionados con eventos actuales relacionados con la industria del petróleo y el gas en Rusia.
«La muestra actúa como un exploit inicial con la capacidad de recopilar y filtrar varios tipos de información, seguido potencialmente por exploits de ejecución remota de código (RCE) y escape de espacio aislado (SBX),» dijo Li.
«Abusa de la vulnerabilidad de día cero/sin parches en Adobe Reader que le permite ejecutar API privilegiadas de Acrobat, y se confirma que funciona en la última versión de Adobe Reader».
También viene con capacidades para filtrar la información recopilada a un servidor remoto («169.40.2(.)68:45191») y recibir código JavaScript adicional para ejecutar.
Este mecanismo, argumentó Li, podría usarse para recopilar datos locales, realizar ataques avanzados de huellas dactilares y preparar el escenario para actividades posteriores, incluida la entrega de exploits adicionales para lograr la ejecución de código o zona de pruebas.
Se desconoce la naturaleza exacta de este exploit de siguiente etapa, ya que no se recibió respuesta del servidor. Esto, a su vez, podría implicar que el entorno de prueba local desde el que se emitió la solicitud no cumpliera con los criterios necesarios para recibir la carga útil.
«Sin embargo, esta capacidad de día cero/sin parches para una amplia recolección de información y el potencial para la posterior explotación de RCE/SBX es suficiente para que la comunidad de seguridad permanezca en alerta máxima», dijo Li.
Actualizar
Adobe ha publicado actualizaciones de seguridad para la vulnerabilidad (CVE-2026-34621, puntuación CVSS: 9,6). Por favor consulte aquí para más detalles.
