TLP:CLEARAnálisis de fuentes públicas. Todos los CVE, IoCs y detecciones citados provienen de reporting abierto (NVD, MSRC, CISA, Huntress, Picus, y otros); las URLs están al pie.
Sobre esta serie. Esto no es un incidente que yo respondiera: es una síntesis defensiva de una campaña pública, escrita desde el lado azul. El objetivo es entender clases de bug —no reproducir exploits— y salir con detecciones y mitigaciones aplicables. Ningún apartado contiene pasos de explotación sin su contramedida. Este post es el índice y el mapa; cada exploit tiene (o tendrá) su propio deep-dive enlazado abajo.

Resumen ejecutivo#

Entre el 7 de abril y el 10 de junio de 2026, un investigador que firma como Nightmare-Eclipse publicó ocho exploits de prueba de concepto (PoC) funcionales contra componentes de seguridad de Windows —sobre todo Microsoft Defender y BitLocker—. No los reportó por el cauce de divulgación coordinada: los tiró a la calle, con código, cronometrados para caer los días posteriores a cada Patch Tuesday, garantizando semanas de exposición sin parche.

No es un grupo APT. Es una sola persona en disputa con el Microsoft Security Response Center (MSRC), que decidió convertir su enojo en armamento público. Y funcionó: Huntress confirmó que al menos BlueHammer, RedSun y UnDefend se usaron en intrusiones reales, con ransomware como objetivo final, y CISA metió los CVE en su catálogo Known Exploited Vulnerabilities (KEV).

La lección de fondo no es “parchea”. Es que confiar en el control de seguridad nativo como si fuera infalible es un supuesto explotable. Aquí el propio Defender —el que debía remediar el fichero malicioso— fue el vehículo de la escalada a SYSTEM. Cuando tu antivirus escribe con privilegios de SYSTEM y no revalida la ruta, tu antivirus es tu superficie de ataque.

Quién está detrás: un rencor, no una bandera#

El actor opera bajo varios alias —Nightmare-Eclipse (su handle de GitHub), Chaotic Eclipse (su blog), y variantes como Dead Eclipse / MSNightmare—. Se presenta como un investigador individual con una cuenta pendiente con Microsoft. En sus publicaciones afirma que “alguien violó nuestro acuerdo y me dejó sin hogar, sin nada” y que personal de MSRC le dijo “que iban a arruinarme la vida, y lo hicieron”. Podría ser un ex-empleado de Microsoft; eso no está verificado.

Si esto te suena, es porque el patrón tiene precedente. En 2018-2019, “SandboxEscaper” hizo casi lo mismo: soltó una tanda de LPEs de Windows con código funcional, sin coordinar, en abierta ruptura con el proceso de MSRC. La lección se repite: un investigador enfadado con acceso a bugs de calidad es, en la práctica, un proveedor de zero-days para cualquiera que sepa copiar y pegar —incluidas bandas de ransomware que jamás habrían encontrado esos bugs por su cuenta—.

El detalle operativo que hace tanto daño es el timing. Soltar el PoC justo después del Patch Tuesday no es casualidad: maximiza la ventana en la que la vulnerabilidad ya es pública pero todavía no hay parche. Es divulgación diseñada para hacer el mayor daño posible dentro de un ciclo de parcheo.

La campaña de un vistazo#

Ocho piezas, tres oleadas. Los nombres los puso el propio actor.

PoC (fecha aprox.)CVEComponenteImpactoEstado a 2026-07-01
BlueHammer (7-abr)CVE-2026-33825Defender · motor de remediaciónLPE → SYSTEMParcheado (Patch Tue. abr). In-wild. KEV
RedSun (abr)CVE-2026-41091Defender · rollback de cloud filesLPE → SYSTEMParcheado (OOB 21-may). In-wild. KEV
UnDefend (abr)CVE-2026-45498Defender · DoS del motorEvasión (ciega Defender)Parcheado (OOB 21-may). In-wild. KEV
YellowKey (13-may)CVE-2026-45585BitLocker · WinREBypass físico de cifradoParcheado (Patch Tue. jun)
GreenPlasma (13-may)CVE-2026-45586CTFMON frameworkLPE → SYSTEMParcheado (Patch Tue. jun)
MiniPlasma (13-may)CVE-2020-17103Cloud Files Mini Filter DriverLPE → SYSTEMParcheado (Patch Tue. jun)
RoguePlanet (9-jun)CVE-2026-50656Defender · pipeline de cuarentenaLPE → SYSTEMSin parche (en desarrollo). Solo PoC
GreatXML (10-jun)sin CVEBitLocker + WinRE + Defender OfflineBypass físico de cifradoSin parche (no reportado a MS)

Tres cosas que saltan de esta tabla y que valen más que la tabla misma:

  1. Cinco de las ocho piezas son la misma idea. BlueHammer, RedSun, RoguePlanet (y buena parte de la familia Plasma) son variaciones de una condición de carrera TOCTOU en operaciones de fichero privilegiadas de Defender, abusando de oplocks + junctions de NTFS. Parchear un CVE no mata la clase de bug: el actor demostró que podía reencontrar la misma primitiva por otra ruta de código. Lo desarrollo en el deep-dive de BlueHammer/RedSun.
  2. MiniPlasma reutiliza un CVE de 2020. No es un error de tipeo: CVE-2020-17103 es real, del Cloud Files Mini Filter Driver, parcheado en noviembre de 2020. Que un PoC de 2026 lo resucite sugiere un parche incompleto o una regresión. Es una historia en sí misma.
  3. Las dos piezas de BitLocker (YellowKey, GreatXML) no son LPE: son bypass físico. No escalan privilegios; leen tu disco cifrado con acceso físico breve, mientras BitLocker sigue reportando “protección activada”. Cambian el modelo de amenaza por completo, y su única mitigación real pre-parche es TPM+PIN. Lo veremos en su deep-dive.

La cadena real, según Huntress#

La teoría es una cosa; lo que Huntress documentó en una intrusión real de mediados de abril es otra, y es lo que de verdad importa para cazar. El acceso inicial no fue ninguno de estos zero-days: fue una cuenta de FortiGate SSL VPN comprometida, usada desde tres orígenes geográficos en ventanas cortas de tiempo. Los zero-days entraron después, para escalar y cegar la defensa.

flowchart TD
    A["Acceso inicial
FortiGate SSL VPN comprometida
(orígenes RU / SG / CH)"] --> B["Staging de herramientas
FunnyApp.exe, RedSun.exe, undef.exe, z.exe
en Downloads\\ks\\ y Downloads\\kk\\"] B --> C["Reconocimiento
whoami /priv · cmdkey /list · net group"] C --> D["Escalada a SYSTEM
BlueHammer / RedSun
(TOCTOU + oplock + junction → System32)"] D --> E["Evasión
UnDefend (undef.exe -agressive)
ciega Defender sin alertar"] E --> F["C2 / tunelización
agent.exe (BeigeBurrow)
→ staybud.dpdns[.]org:443"] F --> G["Objetivo inferido
despliegue de ransomware"]

Fíjate en el orden: primero escalan (BlueHammer/RedSun), luego ciegan (UnDefend), luego tunelizan (BeigeBurrow). UnDefend es el eslabón silencioso —un simple DoS de Defender (CVE-2026-45498, CVSS 4.0) que lo deja inservible sin lanzar ninguna alerta—, y por eso el de mayor valor para el atacante pese a su CVSS bajo. Un CVSS no mide lo peligroso que es un bug dentro de una kill chain.

IoCs consolidados (intrusión Huntress)#

Los que siguen son de la intrusión real documentada por Huntress. Valídalos contra tu entorno antes de bloquear nada; algunos (nombres de binario) son triviales de cambiar por el atacante.

Ficheros y rutas de staging

%USERPROFILE%\Pictures\FunnyApp.exe          (variante BlueHammer)
%USERPROFILE%\Downloads\RedSun.exe
%USERPROFILE%\Downloads\ks\undef.exe          (UnDefend; flags -h / -agressive)
%USERPROFILE%\Downloads\kk\undef.exe
%USERPROFILE%\Downloads\ks\z.exe
agent.exe                                     (tunelizador BeigeBurrow)

Red / C2

staybud.dpdns[.]org:443     C2 (agent.exe -server staybud.dpdns[.]org:443 -hide)
78.29.48[.]29               VPN origen (Rusia)
212.232.23[.]69             VPN origen (Singapur)
179.43.140[.]214            VPN origen (Suiza)

Otros artefactos

SHA-256  a2b6c7a9c4490df70de3cdbfa5fc801a3e1cf6a872749259487e354de2876b7c
Firma    Exploit:Win32/DfndrPEBluHmr.BZ     (detección de Defender para BlueHammer)
Vector   Credenciales de FortiGate SSL VPN comprometidas (acceso inicial)
No confundas artefacto de PoC con IoC de intrusión. Por ejemplo, el named pipe \\.\pipe\RoguePlanet que circula en algunos posts es un artefacto del PoC público de RoguePlanet, no un indicador visto en un ataque real (MSRC no ha reportado explotación in-the-wild de RoguePlanet). Bloquear por ese nombre de pipe es cosmético: cualquier variante lo renombra. La detección resiliente es comportamental (un shell hijo de MsMpEng.exe), no el nombre del pipe. Lo tratamos en el deep-dive de RoguePlanet.

Índice de la serie#

Cada pieza técnica tiene su propio análisis, con mecanismo (nivel conceptual defensivo), mapeo MITRE ATT&CK, reglas Sigma/YARA/KQL y mitigaciones:

  1. BlueHammer + RedSun — la clase de bug TOCTOU en Defender · oplock + junction → escritura en System32 como SYSTEM.
  2. UnDefend — cómo ciegan tu EDR sin que salte una alerta · el DoS silencioso que precede a todo lo demás.
  3. YellowKey + GreatXML — BitLocker no te protege si el atacante toca el equipo · bypass vía WinRE y por qué TPM-only no basta.
  4. RoguePlanet — la carrera a SYSTEM que sobrevive al parche · sin parche, y por qué WDAC es hoy el único control validado.
  5. GreenPlasma + MiniPlasma — CTFMON y el CVE zombie de 2020 · tres rutas más a SYSTEM y un parche que no cerró del todo.

Cada deep-dive es autocontenido: puedes entrar por el que te interese. Todos comparten el tag nightmare-eclipse.

Mapa MITRE ATT&CK de la campaña#

TácticaTécnicaDónde aparece
Initial AccessT1190 — Exploit Public-Facing ApplicationFortiGate SSL VPN
Initial AccessT1078 — Valid AccountsCredenciales VPN robadas
Execution / IngressT1105 — Ingress Tool TransferFunnyApp.exe, RedSun.exe, undef.exe, agent.exe
Privilege EscalationT1068 — Exploitation for Privilege EscalationBlueHammer, RedSun, GreenPlasma, MiniPlasma, RoguePlanet
Defense EvasionT1562.001 — Impair Defenses: Disable or Modify ToolsUnDefend
Credential AccessT1003.002 — OS Credential Dumping: SAMBlueHammer (lectura de SAM)
DiscoveryT1087 — Account Discoverywhoami /priv, net group
Credential AccessT1555 — Credentials from Password Storescmdkey /list
Command and ControlT1090 — Proxy / tunnelingagent.exe (BeigeBurrow) → C2
Impact(inferido) T1486 — Data Encrypted for Impactdespliegue de ransomware
— (acceso físico)T1006 — Direct Volume AccessYellowKey, GreatXML (BitLocker)

Qué hacer hoy (resumen accionable)#

  • Parchea la plataforma de Defender. Verifica 4.18.26040.7 o superior —cubre BlueHammer, RedSun y UnDefend—:
    (Get-MpComputerStatus).AMProductVersion
    
  • Aplica los Patch Tuesday de abril y junio 2026 (BlueHammer; YellowKey/GreenPlasma/MiniPlasma) y el OOB del 21-may (RedSun/UnDefend).
  • Para lo que sigue sin parche (RoguePlanet, GreatXML): application allowlisting con WDAC/AppLocker en enforced, BitLocker en TPM+PIN, y control de acceso físico. Detalle por pieza en cada deep-dive.
  • Caza comportamental, no solo IoC: alerta sobre shells hijos de MsMpEng.exe y sobre fallos inexplicados de actualización de Defender correlacionados con otros eventos. Son resilientes a que el actor renombre binarios y pipes.

Referencias#