Según nuevos informes de seguridad, grupos de piratas informáticos patrocinados por el estado están explotando activamente una vulnerabilidad de larga data en los archivos de acceso directo de Windows (LNK) para lanzar ataques cibernéticos contra entidades gubernamentales y diplomáticos. La falla, identificada como CVE-2025-9491, permite a los atacantes ocultar código malicioso dentro de los íconos de acceso directo aparentemente inofensivos que utilizan diariamente millones de usuarios. A pesar del creciente número de ataques, Microsoft habría decidido no lanzar un parche directo para el problema, citando el riesgo de romper la funcionalidad legítima del sistema operativo. Los archivos LNK de Windows se utilizan normalmente para señalar aplicaciones o documentos. Sin embargo, también se pueden configurar para ejecutar comandos del sistema. La vulnerabilidad radica en cómo Windows muestra estas propiedades de archivo al usuario. Si bien la interfaz de usuario de Windows solo muestra los primeros 255 caracteres de la ruta de destino de un acceso directo, el formato de archivo en sí admite hasta 4096 caracteres. Los atacantes aprovechan esta brecha «rellenando» sus comandos maliciosos con espacios en blanco extensos. Cuando un usuario inspecciona las propiedades del archivo, ve una ruta benigna, pero los argumentos maliciosos ocultos, como los scripts de PowerShell que descargan malware, se ejecutan inmediatamente al abrir el archivo. Los investigadores de seguridad han vinculado esta técnica con campañas de espionaje de alto perfil. Un grupo, identificado como XDSpy, se ha dirigido a agencias gubernamentales en Europa del Este. En estos ataques, el grupo utilizó archivos LNK para activar un ejecutable legítimo firmado por Microsoft. Luego, este ejecutable descargó un archivo DLL malicioso para instalar la carga útil «XDigo», que es capaz de robar datos confidenciales, capturar capturas de pantalla y registrar pulsaciones de teclas. Se ha observado que otro actor de amenazas, identificado como UNC6384, tiene como objetivo a diplomáticos europeos. Este grupo utiliza tácticas similares de relleno de espacios en blanco para ocultar los comandos de PowerShell que implementan el troyano de acceso remoto PlugX, una herramienta comúnmente asociada con las operaciones de ciberespionaje chinas. Los informes indican que estos ataques se han utilizado para comprometer sistemas en Hungría, Bélgica y otras naciones alineadas con la OTAN. Según informes de Help Net Security, Microsoft ha determinado que esta vulnerabilidad específica «no cumplió con los estándares de servicio». La postura de la compañía es que la capacidad de los atajos para iniciar programas con argumentos es una característica fundamental del sistema operativo Windows, y alterar este comportamiento podría alterar el software legítimo. En lugar de corregir el código, Microsoft confía en su ecosistema de seguridad para mitigar la amenaza. La compañía afirma que Microsoft Defender es capaz de marcar accesos directos maliciosos y su función Smart App Control puede bloquear archivos no confiables descargados de Internet. Los expertos en seguridad aconsejan a los usuarios que traten los archivos LNK con la misma precaución reservada para los archivos ejecutables (.EXE), especialmente cuando llegan por correo electrónico o dentro de archivos ZIP. Debido a que es posible que la interfaz de Windows no revele todos los peligros de un archivo, la inspección visual ya no es una medida de seguridad confiable. Para entornos empresariales, se recomienda que los equipos de seguridad configuren políticas como AppLocker para impedir que los archivos de acceso directo inicien herramientas de línea de comandos como PowerShell. Para los usuarios individuales, mantener actualizado el software antivirus sigue siendo la principal línea de defensa contra estos ataques de ejecución de «clic cero» o de un solo clic.
