Cero contraseñas, cero cuentas, un archivo de configuración: eso bastó para que hackers se apoderaran de los servidores de una plataforma educativa japonesa
En Japón desarrollan una plataforma educativa, pero se olvidan de programarla para cambiar contraseñas.
En KnowledgeDeliver se encontró una vulnerabilidad crítica CVE-2026-5426 (CVSSv3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) — 9.1 Crítica, a través de la cual atacantes comprometieron el servidor de la plataforma educativa y trataron de infectar los equipos de sus visitantes. KnowledgeDeliver fue desarrollada por la empresa japonesa Digital Knowledge; el sistema se utiliza con frecuencia en Japón para la enseñanza a distancia.
Especialistas de Mandiant del Google Threat Intelligence Group investigaron el incidente a finales de 2025. Determinaron que actores desconocidos lograron ejecutar comandos en el servidor sin iniciar sesión. La causa fueron las claves ASP.NET machineKey idénticas que se usaban en distintas instalaciones de KnowledgeDeliver.
Las instalaciones de KnowledgeDeliver desplegadas antes del 24 de febrero de 2026 recibían el archivo estándar web.config del proveedor. Ese archivo contenía claves predefinidas que ASP.NET usa para cifrar y firmar datos, incluido el ViewState. El ViewState almacena el estado de la página web entre las solicitudes del usuario.
Si un atacante obtenía las claves de una instalación, podía crear un ViewState malicioso y enviarlo a otro servidor KnowledgeDeliver accesible desde Internet. El servidor aceptaba esos datos como confiables e intentaba procesarlos, lo que permitía ejecutar código malicioso.
Tras la intrusión, los atacantes establecieron persistencia en el servidor usando una web-shell BLUEBEAM, también conocida como Godzilla. La herramienta maliciosa operaba en la memoria del proceso IIS w3wp.exe; por eso, si se analizan archivos con métodos convencionales, las huellas de la infección pueden no detectarse. Mediante solicitudes HTTP POST cifradas, los atacantes podían enviar comandos y activar componentes maliciosos adicionales.
A continuación, los atacantes modificaron los permisos del directorio de la aplicación web con icacls y concedieron acceso completo al grupo Everyone. Después insertaron código malicioso en un archivo JavaScript. A los visitantes del sitio se les mostraba una falsa advertencia de seguridad y se les ofrecía instalar un «complemento de verificación de autenticidad». Al mismo tiempo, la página cargaba un script malicioso remoto desde un dominio controlado por los atacantes.
El instalador falso infectaba las estaciones de trabajo con Cobalt Strike BEACON. La carga útil estaba cifrada con una clave que incluía el nombre de la organización comprometida. Ese detalle sugiere que los atacantes prepararon el archivo malicioso específicamente para un objetivo determinado.
Mandiant aconseja a los administradores de KnowledgeDeliver que reemplacen con urgencia el machineKey por claves únicas y criptográficamente seguras para cada instalación. Esa medida restablece el secreto compartido que posibilitó el ataque. También recomienda restringir el acceso al sistema de gestión educativa a direcciones de confianza, revisar los registros de Windows en busca de eventos ASP.NET con el código 1316, buscar procesos hijo sospechosos del w3wp.exe, incluidos cmd.exe, whoami y powershell.exe, y comprobar cambios en los archivos .js, .aspx y .config.