资安厂商赛门铁克发现，4月初微软安全更新修补的零时差漏洞，其实也曾遭Play勒索软件的骇客攻击，植入窃密程序。

上个月微软发布Patch Tuesday安全更新修补126项安全漏洞，包含一项零时差漏洞CVE-2025-29824。该漏洞为位于Windows通用事件记录文件系统（Common Log File System，CLFS）驱动程序的使用已释放记忆体（Use After Free，UAF）漏洞，可让已获得授权的攻击者提升本地权限。

当时微软判断该漏洞已遭被称为Storm-2460的骇客组织滥用散布勒索软件RansomEXX，受害组织包括美国IT业者、委内瑞拉金融业者、西班牙软件公司、沙乌地阿拉伯零售业者。

但博通旗下资安业者赛门铁克本周公布其研究，一个和Play勒索软件有关的攻击者也曾利用CVE-2025-29824，对一家美国组织发动恶意程序以提升权限。这组骇客并未部署勒索软件，但植入了窃资程序Grixba，这个程序被认为和Play勒索软件背后的Balloonfly有关。

Balloonfly至少从2022年6月开始活动，并使用Play勒索软件为祸，攻击北美、南美和欧洲多家企业和关键基础架构。

在最近的攻击中，研究人员推断Balloonfly先是锁定面向网际网路的Cisco ASA防火墙，然后以某种不明方法在受害者网路上滥用本漏洞移动到Windows机器上。除了Grixba窃资程序及CVE-2025-29824滥用程序外，骇客还部署了其他恶意程序及骇客工具。研究人员尚不知这些程序为何，但是是位于Music资料匣，冒充Palo Alto软件之名，例如1day.exe。

Balloonfly滥用CVE-2025-29824，目的在提升权限并窃取位于C:ProgramDataEvents中的敏感Windows注册表资料。在滥用过程中，骇客建立了CLFS log档及一个DLL档，后者是用来注入winlogon.exe行程，并且生成二个批次档。其中一个servtask.bat存在C:ProgramData下，用于SAM、SYSTEM及SECURITY Registry中的管理员群组中新增用户，藉此权限。另一个named cmdpostfix.bat则用于删除活动迹证。

基于滥用CVE-2025-29824的手法，研究人员判断，Balloonfly不同于Storm-2460；Storm-2460是从dllhost.exe行程，在记忆体中启动滥用行为，而赛门铁克发现的却并非无文件（fileless）滥用行为。因此让赛门铁克研究人员相信，在微软修补之前，漏洞已遭到至少二组攻击者滥用。