Google's Mandiant Threat Defense waarschuwt voor een actief uitgebuit lek (CVE-2025-12480) in Gladinet’s Triofox-platform voor bestandsdeling en toegang op afstand. Het gaat om een kritieke kwetsbaarheid, die het mogelijk maakt authenticatie te omzeilen en toegang te verkrijgen tot de configuratie van het platform. Dit maakt het onder meer mogelijk bestanden te uploaden en uit te voeren. Het lek is inmiddels gedicht.

De onderzoekers melden dat het lek zeker sinds 24 augustus actief wordt uitgebuit door een aanvaller die als UNC6485 is geïdentificeerd. De kwetsbaarheid is een maand eerder door Gladinet gedicht in versie 16.7.10368.56560 van het platform. De aanvaller richt zich dus op ongepatchte implementaties van Triofox.

De aanvaller gebruikt het lek volgens Mandiant Threat Defense om toegang te verkrijgen tot de configuratiepagina's van Triofox. Hier maakt de aanvaller vervolgens een nieuw beheerdersaccount aan, dat vervolgens wordt gebruikt voor het uploaden en uitvoeren van malafide bestanden. Voor het uitvoeren van de bestanden wordt een installatiewizard voor antivirussoftware ingezet. Deze installatie biedt de mogelijkheid een pad op te geven naar een specifieke antivirus-engine. Door hier het pad naar een malafide bestand op te geven kan dit bestand worden uitgevoerd.

Het doel van de aanval is vooralsnog onduidelijk. Mandiant Threat Defense adviseert beheerders installaties van Triofox zo snel mogelijk te updaten naar de nieuwste versie, waarin het lek is gedicht.