Una vulnerabilità zero-day non ancora risolta in Adobe Reader è sotto sfruttamento attivo da almeno novembre 2025. A renderlo pubblico è stato Haifei Li, ricercatore di sicurezza e fondatore di EXPMON, piattaforma di rilevamento exploit basata su sandbox, che martedì 7 aprile ha pubblicato i dettagli di una campagna malevola basata su PDF appositamente costruiti per colpire sistemi completamente aggiornati. Il primo campione identificato su VirusTotal risale al 28 novembre 2025, anche se l’attività più documentata si concentra a partire da dicembre.
Come funziona l’exploit
Il vettore d’attacco è un PDF che incorpora JavaScript pesantemente offuscato all’interno di form objects. Il codice viene decodificato a runtime e sfrutta un logic flaw nel JavaScript engine di Adobe Reader per invocare API privilegiate di Acrobat dall’interno del processo sandboxed, aggirando le protezioni di isolamento. La cosa più rilevante dal punto di vista operativo: non serve nessuna interazione da parte della vittima oltre all’apertura del file. Basta fare doppio click sul documento per innescare l’intera catena.
So, this is what I was busy working on.. A really interesting (and sophisticated) Adobe Reader PDF “fingerprinting” exploit involving zero-day and allowing to launch additional maybe RCE/SBX exploitation!https://t.co/k3Rmy8k4rS
— Haifei Li (@HaifeiLi) April 8, 2026
Una volta eseguito, lo script raccoglie un profilo dettagliato del sistema: impostazioni di lingua, versione di Adobe Reader, versione completa del sistema operativo e percorso locale del PDF aperto. Queste informazioni costituiscono il “fingerprint” che dà il nome alla tecnica. L’exploit sfrutta poi la API privilegiata util.readFileIntoStream per leggere file arbitrari accessibili al processo sandboxed, incluse librerie di sistema e file nelle directory di sistema come Windows\system32. I ricercatori di CyberPress hanno dimostrato in ambiente controllato che l’exploit riesce effettivamente a leggere file da quella cartella ed esfiltrarli verso il server dell’attaccante, anche in assenza di un payload di secondo stadio.
Esfiltrazione e potenziale RCE
Per le comunicazioni con la struttura di comando e controllo, l’exploit abusa della API RSS.addFeed in contesto privilegiato, utilizzandola sia per inviare i dati raccolti sia per recuperare ulteriore JavaScript da eseguire. Il server C2 hardcoded nei campioni analizzati è 169.40.2.68:45191. Il payload restituito viene decriptato lato client, una tecnica pensata per eludere i sistemi di ispezione del traffico di rete. Durante i test, il server ha accettato le connessioni ma non ha risposto con codice exploit aggiuntivo: un comportamento coerente con una logica di selezione rigida delle vittime, dove il payload completo viene consegnato solo a target che soddisfano determinati criteri di fingerprinting.
Li ha chiarito che questa prima fase costituisce solo la testa di ponte: il campione è progettato per raccogliere dati e predisporre il terreno per exploit successivi in grado di ottenere Remote Code Execution (RCE) e Sandbox Escape (SBX). Il server non ha risposto durante i test, quindi la natura esatta del secondo stadio resta ignota, ma la validazione pratica del path verso RCE è già stata confermata: qualunque JavaScript restituito dal server C2 verrebbe eseguito all’interno di Adobe Reader.
Tracce su VirusTotal e rilevamento basso
Il primo campione identificato, denominato “Invoice540.pdf”, è apparso su VirusTotal il 28 novembre 2025, a indicare che l’infrastruttura era già operativa prima della finestra temporale inizialmente stimata. Un secondo campione è stato caricato il 23 marzo 2026. Entrambi mostravano un tasso di rilevamento molto basso sui motori antivirus tradizionali al momento della scoperta, evidenziando quanto la tecnica di offuscamento adottata riesca a eludere le soluzioni convenzionali. Il campione che ha innescato l’alert su EXPMON era identificato come “yummy_adobe_exploit_uwu.pdf”, un nome volutamente innocuo. Quello che lo ha reso interessante non era la presenza di malware classico, ma il comportamento runtime: è la logica di exploit a sfuggire ai motori signature-based.
Esche in russo e contesto della campagna
Apparent #0day in Adobe Reader has been observed in the wild. Seems to exploit part of Adobe Readers JavaScript engine. Documents observed contain Russian language lures and refer to issues regarding current events related to the oil and gas industry in Russia. https://t.co/QRu63fuAP4
— Gi7w0rm (@Gi7w0rm) April 8, 2026
L’analisi del threat intelligence analyst Gi7w0rm ha aggiunto un elemento di contesto geopolitico: i documenti PDF veicolati negli attacchi contengono esche in lingua russa che fanno riferimento a eventi correnti nel settore oil & gas russo. Questo indica una campagna con targeting specifico, probabilmente orientata contro professionisti o organizzazioni attive in quel comparto. Il livello tecnico complessivo della catena, dalla sofisticazione dell’offuscamento alla logica di selezione delle vittime fino al meccanismo di decriptazione client-side del payload, è compatibile con un threat actor ben finanziato o con capacità di livello nation-state. Nessuna attribuzione formale è stata avanzata dai ricercatori, ma l’insieme degli indicatori esclude con ragionevole certezza uno scenario opportunistico o poco strutturato.
Nessuna patch, mitigazioni disponibili
I risultati della ricerca e dell’analisi sono stati condivisi con Adobe, ma al momento della pubblicazione di questo articolo non è disponibile alcun aggiornamento di sicurezza. Li ha consigliato agli utenti di non aprire PDF provenienti da contatti non verificati fino al rilascio di una patch. Per chi si trova a gestire la sicurezza di reti e sistemi, la mitigazione più immediata consiste nel monitorare e bloccare il traffico HTTP/HTTPS che contiene la stringa “Adobe Synchronizer” nell’header User-Agent, che è il marcatore usato dall’exploit per le comunicazioni C2. Va tenuto conto che gli attaccanti possono ruotare l’infrastruttura, quindi bloccare l’IP hardcoded è utile ma non sufficiente come misura esclusiva. La submission di campioni PDF sospetti a EXPMON Public rimane una delle poche contromisure di rilevamento attualmente efficaci contro questa classe di attacco.