Google's Mandiant Threat Defense heeft een waarschuwing afgegeven voor een actief misbruikte kwetsbaarheid (CVE-2025-12480) in het Triofox-platform van Gladinet, dat wordt gebruikt voor bestandsdeling en externe toegang. Deze kritieke kwetsbaarheid maakt het mogelijk om authenticatie te omzeilen en toegang te krijgen tot de configuratie van het platform, waardoor bestanden kunnen worden geüpload en uitgevoerd. Het beveiligingslek is inmiddels verholpen.

Onderzoekers melden dat de kwetsbaarheid sinds 24 augustus actief wordt uitgebuit door een aanvaller, aangeduid als UNC6485. Gladinet heeft het lek een maand eerder opgelost in versie 16.7.10368.56560 van het platform. De aanvaller richt zich op systemen die nog niet zijn bijgewerkt. Via het lek krijgt de aanvaller toegang tot de configuratiepagina's van Triofox en maakt een nieuw beheerdersaccount aan. Dit account wordt gebruikt om schadelijke bestanden te uploaden en uit te voeren. Voor de uitvoering wordt een installatiewizard voor antivirussoftware gebruikt, waarbij een pad naar een kwaadaardig bestand wordt opgegeven. Het doel van de aanval is nog onbekend. Mandiant Threat Defense raadt beheerders aan om Triofox zo snel mogelijk bij te werken naar de nieuwste versie.