La vulnerabilidad explotada en el clon de Signal sigue activa e identifican nuevos intentos de 'hackeo'

Investigadores de ciberseguridad han advertido que la vulnerabilidad previamente explotada en la versión modificada de la aplicación de Signal de TeleMessage continúa activa, tras descubrir intentos recientes de actores maliciosos para robar contraseñas y datos confidenciales.

La empresa israelí TeleMessage comercializa versiones modificadas de Signal, WhatsApp y Telegram para empresas y agencias gubernamentales, permitiendo almacenar sus chats en la propia 'app', por razones legales y de cumplimiento.

En concreto, la aplicación clon de Signal, que es utilizada por miembros del Gobierno estadounidense, ya sufrió un ciberataque en mayo de este año, cuando un 'hacker' logró acceder a los registros de las conversaciones archivadas.

En ese momento, el ciberatacante aprovechó una serie de vulnerabilidades presentes en la modificación de Signal, que no estaban protegidas con encriptación de extremo a extremo. Ahora, investigadores del grupo de ciberseguridad GreyNoise han identificado nuevos intentos de actores maliciosos de explotar el mismo fallo de seguridad.

Así lo ha dado a conocer la compañía en un comunicado compartido en su blog, donde ha detallado que, en caso de explotar con éxito la vulnerabilidad, reconocida como CVE-2025-48927, los ciberdelincuentes pueden obtener "una instantánea completa de la memoria" de las conversaciones y, con ello, tener acceso a "nombres de usuario en texto simple, contraseñas y otros datos confidenciales".

Con ello, en análisis recogidos hasta el 16 de julio, los investigadores de GreyNoise han identificado hasta once direcciones IP que continúan intentando explotar el fallo mencionado actualmente.

"Tras investigar un poco, descubrí que muchos dispositivos siguen expuestos y vulnerables a esto", ha manifestado al respecto el investigador de GreyNoise, Howdy Fisher.

La compañía ha especificado, por tanto, que el problema subyacente de esta vulnerabilidad continúa residiendo en el módulo Spring Boot Actuator, que proporciona herramientas para monitorizar y gestionar aplicaciones en producción.

Este módulo, "expone el 'endpoint' subyacente autenticación por defecto". Por lo que, con un solo comando, los actores maliciosos pueden descargar un archivo de aproximadamente 150MB con los nombres de usuario y contraseñas en texto plano, entre otra información.