El grupo de ransomware Play explotó una falla de alta gravedad del Sistema de Archivos de Registro Común de Windows en ataques de día cero para obtener privilegios de SISTEMA e implementar malware en sistemas comprometidos.

La vulnerabilidad, identificada como CVE-2025-29824, fue etiquetada por Microsoft como explotada en un número limitado de ataques y corregida durante el Martes de Parches del mes pasado.

«Los objetivos incluyen organizaciones de los sectores de tecnologías de la información (TI) e inmobiliario de Estados Unidos, el sector financiero de Venezuela, una empresa española de software y el sector minorista de Arabia Saudita», declaró Microsoft en abril.

Microsoft vinculó estos ataques con el grupo de ransomware RansomEXX, afirmando que los atacantes instalaron el malware de puerta trasera PipeMagic, que se utilizó para instalar el exploit CVE-2025-29824, implementar cargas útiles de ransomware y notas de rescate después de cifrar archivos.

Desde entonces, el Equipo de Cazadores de Amenazas de Symantec también ha encontrado evidencia que los vincula con la operación de ransomware como servicio Play, afirmando que los atacantes implementaron un exploit de día cero de escalada de privilegios CVE-2025-29824 tras vulnerar la red de una organización estadounidense.

«Aunque no se implementó ninguna carga útil de ransomware en la intrusión, los atacantes implementaron el ladrón de información Grixba, una herramienta personalizada asociada con Balloonfly, los atacantes detrás de la operación de ransomware Play», declaró Symantec.

«Balloonfly es un grupo de ciberdelincuentes que ha estado activo desde al menos junio de 2022 y utiliza el ransomware Play (también conocido como PlayCrypt) en sus ataques».

La herramienta personalizada Grixba de escaneo de red y robo de información se detectó por primera vez hace dos años, y los operadores del ransomware Play suelen utilizarla para enumerar usuarios y equipos en redes comprometidas.

La banda de ciberdelincuentes Play surgió en junio de 2022 y también es conocida por sus ataques de doble extorsión, en los que sus afiliados presionan a las víctimas para que paguen rescates y así evitar que sus datos robados se filtren en línea.

En diciembre de 2023, el FBI emitió un aviso conjunto con la CISA y el Centro Australiano de Ciberseguridad (ACSC), advirtiendo que la banda de ransomware Play había vulnerado las redes de unas 300 organizaciones en todo el mundo hasta octubre de 2023.

Entre las víctimas anteriores más notables del ransomware Play se encuentran la empresa de computación en la nube Rackspace, el gigante minorista de automóviles Arnold Clark, la ciudad de Oakland en California, el condado de Dallas, la ciudad belga de Amberes y, más recientemente, el proveedor estadounidense de semiconductores Microchip Technology y la cadena de donas Krispy.