Netcrook Logo
👤 LOGICFALCON
🗓️ 08 Jan 2026  

Dentro del Robo al Hipervisor: Cómo los Hackers Orquestaron una Brecha de un Año en VMware ESXi

Un kit clandestino llamado MAESTRO permitió a los ciberdelincuentes tomar el control silenciosamente de servidores virtuales en todo el mundo, exponiendo la frágil base de la virtualización empresarial.

Todo comenzó con un susurro: una intrusión insignificante a través de una VPN corporativa, apenas un destello en el radar del ocupado personal de TI. Pero tras bambalinas, se desplegaba una ofensiva meticulosamente diseñada. Usando un kit de herramientas que eludió la detección durante más de un año, los hackers esquivaron a los centinelas digitales y tomaron el control de hipervisores VMware ESXi, los motores invisibles que impulsan gran parte de la infraestructura mundial de la nube y los centros de datos. ¿Su arma? Un conjunto de exploits de día cero bautizado como “MAESTRO”, tan preciso y devastador como su nombre sugiere.

Anatomía de un Ataque Invisible

Investigadores de seguridad de Huntress desentrañaron la campaña tras una brecha en diciembre de 2025, que comenzó cuando los actores de amenazas explotaron una VPN SonicWall comprometida. Armados con credenciales de administrador de dominio robadas, se movieron lateralmente por la red, mapeando meticulosamente su conquista usando herramientas de reconocimiento populares como Advanced Port Scanner y ShareFinder.

El siguiente paso de los atacantes: desplegar MAESTRO. Este kit encadenó tres vulnerabilidades críticas (CVE-2025-22226, -22224 y -22225) para realizar un “escape de máquina virtual”: romper el entorno aislado de la VM invitada y tomar el control del sistema anfitrión ESXi. Las vulnerabilidades iban desde fugas de memoria hasta escaladas de privilegios en el kernel, otorgando a los atacantes el poder de reescribir las reglas del mundo virtualizado.

Una vez dentro del hipervisor, MAESTRO deshabilitó controladores clave de VMware y cargó un controlador de kernel malicioso (“MyDriver.sys”) usando la utilidad Kernel Driver Utility (KDU), eludiendo los controles de seguridad de Windows. Con el sistema comprometido, los atacantes liberaron VSOCKpuppet, una puerta trasera encubierta que aprovechaba el propio canal de comunicación VSOCK de VMware, haciendo que la actividad maliciosa fuera invisible para la monitorización de red tradicional.

El análisis forense reveló los orígenes del kit: rutas de depuración y artefactos de desarrollo rastreados hasta entornos en chino simplificado, con código fechado a principios de 2024, mucho antes de que VMware reconociera públicamente las fallas. Compatible con 155 versiones de ESXi, el alcance de MAESTRO implicaba una operación sofisticada y bien financiada.

Implicaciones: La Frágil Confianza en la Virtualización

Este ataque destrozó la ilusión de aislamiento que promete la virtualización. Con MAESTRO, los criminales podían saltar de la máquina invitada al anfitrión, accediendo potencialmente a cargas de trabajo sensibles en centros de datos enteros. El sigilo de la campaña - deshabilitando conexiones salientes mientras permitía el movimiento lateral - dio a los hackers tiempo para operar sin ser detectados. Para las organizaciones que ejecutan versiones antiguas de ESXi, la amenaza es existencial: no habrá parches y el kit sigue circulando.

El mensaje es claro: la seguridad en la virtualización ya no puede ser una ocurrencia tardía. Parchee ESXi con urgencia, monitorice actividad anómala en VSOCK y escrute toda actividad de VPN y controladores de kernel. Para la infraestructura digital mundial, el reloj avanza.

WIKICROOK

  • Día Cero: Una vulnerabilidad de día cero es una falla de seguridad oculta desconocida para el fabricante del software, sin solución disponible, lo que la hace sumamente valiosa y peligrosa para los atacantes.
  • Hipervisor: Un hipervisor es un software que permite a un servidor ejecutar múltiples máquinas virtuales aisladas, cada una actuando como una computadora independiente.
  • Escape de VM: El escape de VM es un ciberataque en el que un atacante rompe el aislamiento de una máquina virtual para acceder o controlar el sistema anfitrión subyacente.
  • Controlador de Kernel: Un controlador de kernel es un programa central que permite la interacción directa entre un sistema operativo y el hardware, gestionando funciones clave a bajo nivel.
  • Movimiento Lateral: El movimiento lateral ocurre cuando los atacantes, tras vulnerar una red, se desplazan lateralmente para acceder a más sistemas o datos sensibles, ampliando su control y alcance.
Hypervisor Heist MAESTRO toolkit VMware ESXi
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news