.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
El 7 de abril de 2026, un investigador de seguridad describió una vulnerabilidad día cero en Adobe Reader que los atacantes ya explotan al menos desde diciembre de 2025. La vulnerabilidad permite a los atacantes ejecutar API privilegiadas de Acrobat a través de archivos PDF maliciosos especialmente diseñados para ejecutar JavaScript ofuscado al abrirse. La explotación permite a los atacantes robar datos confidenciales de usuarios y del sistema, así como lanzar potencialmente ataques adicionales y ejecutar código de forma remota.
Otro investigador de seguridad señaló que los señuelos en ruso están relacionados con el sector petrolero y gasístico ruso. Estos detalles sugieren que los ataques son dirigidos, en lugar de oportunistas.
Medidas recomendadas
Los investigadores de Counter Threat Unit™ (CTU) recomiendan que las organizaciones estén atentas a un parche oficial de Adobe y actualicen los sistemas según corresponda cuando esté disponible. Mientras tanto, las organizaciones pueden reducir el riesgo analizando automáticamente los archivos PDF adjuntos a los correos electrónicos, bloqueando los archivos sospechosos, formando a los usuarios para que desconfíen de los archivos adjuntos no solicitados y aconsejándoles que eviten temporalmente usar Adobe Reader para abrir archivos PDF.
Protecciones e indicadores de amenaza
Las siguientes protecciones de Sophos están relacionadas con esta amenaza:
- Troj/PDF‑BG
- Malware/Callhome
Los indicadores de amenaza de la Tabla 1 pueden utilizarse para detectar actividad relacionada con esta amenaza. Ten en cuenta que las direcciones IP pueden reasignarse. El dominio y las direcciones IP pueden contener contenido malicioso, así que valora los riesgos antes de abrirlos en un navegador.
| Indicador | Tipo | Contexto |
| 1929da3ef904efb8c940679045452321 | Hash MD5 | Muestra de PDF malicioso en ataques a Adobe Reader (yummy_adobe_exploit_uwu.pdf) |
| 7f3c6f97612dd0a018797f99fad4df754e5feb35 | Hash SHA1 | Muestra de PDF malicioso en ataques a Adobe Reader (yummy_adobe_exploit_uwu.pdf) |
| 65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7 | Hash SHA256 | Muestra de PDF malicioso en ataques a Adobe Reader (yummy_adobe_exploit_uwu.pdf) |
| 522cda0c18b410daa033dc66c48eb75a | Hash MD5 | Muestra de PDF malicioso en ataques a Adobe Reader (Invoice540.pdf) |
| dafd571da1df72fb53bcd250e8b901103b51d6e4 | Hash SHA1 | Muestra de PDF malicioso en ataques a Adobe Reader (Invoice540.pdf) |
| 54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f | Hash SHA256 | Muestra de PDF malicioso en ataques a Adobe Reader (Invoice540.pdf) |
| ado-read-parser[.]com | Dominio | Servidor C2 en ataques a Adobe Reader |
| 169[.]40[.]2[.]68:45191 | Dirección IP:puerto | Servidor C2 en ataques a Adobe Reader |
| 188[.]214[.]34[.]20:34123 | Dirección IP:puerto | Servidor C2 en ataques a Adobe Reader |
| Adobe Synchronizer | Usuario-Agente | Asociado a los ataques a Adobe Reader |
Tabla 1: indicadores de esta amenaza
Referencias
https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
https://x.com/Gi7w0rm/status/2042003381158379554
https://thehackernews.com/2026/03/adobe-reader-zero-day-targeted-attacks.html
https://www.theregister.com/2026/04/09/monthsold_adobe_reader_zeroday_uses/
https://www.securityweek.com/adobe-reader-zero-day-exploited-for-months-researcher/
https://thecyberexpress.com/zero-day-fingerprinting-attack-on-adobe-reader/