Els actors amenaçadors han estat explotant una vulnerabilitat zero-day prèviament desconeguda a Adobe Reader mitjançant documents PDF creats maliciosament des d’almenys el desembre del 2025.

La troballa, detallada per Haifei Li d’EXPMON, ha estat descrita com una vulnerabilitat PDF altament sofisticada. L’artefacte (“Invoice540.pdf”) va aparèixer per primera vegada a la plataforma VirusTotal el 28 de novembre de 2025. La segona mostra es va penjar a VirusTotal el 23 de març de 2026.

Donat el nom del document PDF, és probable que hi hagi un element d’enginyeria social implicat, atès que els atacants volen atraure usuaris desprevinguts perquè obrin els fitxers a Adobe Reader. Un cop iniciat, activa automàticament l’execució de JavaScript ofuscat per recopilar dades delicades i rebre càrregues addicionals.

L’investigador de seguretat Gi7w0rm, en una publicació X, va dir que els documents PDF observats contenen esquers en rus i fan referència a qüestions relacionades amb l’actualitat de la indústria del petroli i el gas a Rússia.

Li va afirmar que «La mostra actua com un explotador inicial amb la capacitat de recopilar i filtrar diversos tipus d’informació, possiblement seguit d’explotacions d’execució remota de codi (RCE) i d’escapament de sandbox (SBX).»

«Abusa d’una vulnerabilitat zero-day/sense pegats a Adobe Reader que li permet executar API privilegiades d’Acrobat, i s’ha confirmat que funciona amb la darrera versió d’Adobe Reader.»

També inclou la capacitat d’exfiltrar la informació recopilada a un servidor remot («169.40.2[.]68:45191») i rebre codi JavaScript addicional per executar-lo.

Aquest mecanisme, va argumentar Li, es podria fer servir per recopilar dades locals, dur a terme atacs avançats d’empremta digital i preparar l’escenari per a activitats posteriors, inclòs el lliurament d’explotacions addicionals per aconseguir l’execució de codi o la zona de proves.

La naturalesa exacta d’aquest explotador de la fase següent continua sent desconeguda, atès que no s’ha rebut cap resposta del servidor. Això, al seu torn, podria implicar que l’entorn de proves local des del qual es va emetre la sol·licitud no complia els criteris necessaris per rebre la càrrega útil.

LI també va declarar que «No obstant això, aquesta capacitat de dia zero/sense pegats per a la recopilació d’informació àmplia i el potencial per a una posterior explotació RCE/SBX és suficient perquè la comunitat de seguretat es mantingui en alerta màxima.»