Microsoft ha detectado silenciosamente una falla de seguridad que ha sido explotada por varios actores de amenazas desde 2017 como parte de la campaña de noviembre de 2025 de la compañía Actualizaciones del martes de parches, de acuerdo a Parche 0 de ACROS Security.
La vulnerabilidad en cuestión es CVE-2025-9491 (puntuación CVSS: 7,8/7,0), que se ha descrito como una vulnerabilidad de mala interpretación de la interfaz de usuario del archivo Windows Shortcut (LNK) que podría provocar la ejecución remota de código.
«La falla específica existe en el manejo de .Archivos LNK», según una descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST. «Datos elaborados en un .El archivo LNK puede hacer que el contenido peligroso del archivo sea invisible para un usuario que inspecciona el archivo a través de la interfaz de usuario proporcionada por Windows. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual»
En otras palabras, estos archivos de acceso directo están diseñados de tal manera que ver sus propiedades en Windows oculta los comandos maliciosos ejecutados por ellos fuera de la vista del usuario mediante el uso de varios caracteres de «espacio en blanco». Para desencadenar su ejecución, los atacantes podrían disfrazar los archivos como documentos inofensivos.
Detalles de la deficiencia primero emergió en marzo de 2025, cuando la Iniciativa Día Cero (ZDI) de Trend Micro reveló que el tema había sido explotado por 11 grupos patrocinados por estados de China, Irán, Corea del Norte y Rusia como parte de robo de datos, espionaje y campañas con motivaciones financieras, algunas de las cuales se remontan a 2017. El problema también se rastrea como ZDI-CAN-25373.
En ese momento, Microsoft le dijo a The Hacker News que la falla no cumple con los requisitos para un servicio inmediato y que considerará solucionarla en una versión futura. También señaló que el formato de archivo LNK está bloqueado en Outlook, Word, Excel, PowerPoint y OneNote, por lo que cualquier intento de abrir dichos archivos activará una advertencia a los usuarios para que no abran archivos de fuentes desconocidas.
Posteriormente, un informe de HarfangLab encontrado que la deficiencia fue abusada por un clúster de ciberespionaje conocido como XDSpy para distribuir un malware basado en Go llamado XDigo como parte de ataques dirigidos a entidades gubernamentales de Europa del Este, el mismo mes en que la falla fue revelada públicamente.
Luego, a finales de octubre de 2025, el problema surgió por tercera vez después de Arctic Wolf marcado una campaña ofensiva en la que actores de amenazas afiliados a China utilizaron como arma la falla en ataques dirigidos a entidades diplomáticas y gubernamentales europeas y lanzaron el malware PlugX.
Este desarrollo impulsó a Microsoft a emitir una guía formal sobre CVE-2025-9491, reiterando su decisión de no parchearlo y enfatizando que no lo considera una vulnerabilidad «debido a la interacción del usuario involucrada y al hecho de que el sistema ya advierte a los usuarios que este formato no es confiable»
0patch dijo que la vulnerabilidad no se trata solo de ocultar la parte maliciosa del comando fuera del campo Objetivo, sino del hecho de que un archivo LNK «permite que los argumentos Objetivo sean una cadena muy larga (decenas de miles de caracteres), pero el cuadro de diálogo Propiedades solo muestra los primeros 260 caracteres, cortando silenciosamente el resto»
Esto también significa que un mal actor puede crear un archivo LNK que puede ejecutar un comando largo, lo que haría que solo se mostraran los primeros 260 caracteres del mismo al usuario que vio sus propiedades. El resto de la cadena de comando simplemente se trunca. Según Microsoft, la estructura del archivo teóricamente lo permite para cadenas de hasta 32k caracteres.
El parche silencioso lanzado por Microsoft soluciona el problema mostrando en el cuadro de diálogo Propiedades todo el comando Target con argumentos, sin importar su longitud. Dicho esto, este comportamiento depende de la posibilidad de que puedan existir archivos de acceso directo con más de 260 caracteres en su campo de destino.
El microparche de 0patch para la misma falla toma una ruta diferente al mostrar una advertencia cuando los usuarios intentan abrir un archivo LNK con argumentos de línea de comandos de más de 260 caracteres rellenando el campo Objetivo.
«Aunque se podrían construir atajos maliciosos con menos de 260 caracteres, creemos que interrumpir ataques reales detectados en la naturaleza puede marcar una gran diferencia para los objetivos», afirmó.
Cuando se le pidió un comentario, un portavoz de Microsoft no confirmó directamente el lanzamiento de un parche, pero transmitió la guía de seguridad del gigante tecnológico que establece que la compañía está «implementando continuamente mejoras en los productos y la interfaz de usuario para ayudar a mantener a los clientes protegidos y mejorar la experiencia»
«Como mejor práctica de seguridad, Microsoft anima a los clientes a tener precaución al descargar archivos de fuentes desconocidas, como se indica en las advertencias de seguridad, que han sido diseñadas para reconocer y advertir a los usuarios sobre archivos potencialmente dañinos», añadió el portavoz.