الرئيس التنفيذي
أشرف الحادي

رئيس التحرير
فاطمة مهران

The magical comeback: Kaspersky and BI.ZONE report new PipeMagic activity in the GCC and Latin America

Kaspersky’s Global Research and Analysis Team (GReAT) in collaboration with BI.ZONE Vulnerability Research experts, observed new 2025 activity associated with the PipeMagic backdoor originally discovered in December 2022. The backdoor has expanded its attack geography: initially observed in Asia, and afterwards detected in Saudi Arabia in late 2024. Recent attacks show sustained interest in Saudi organizations, alongside expansion into new regions, notably manufacturing companies in Brazil.
The researchers tracked the malware’s evolution, identified key changes in the operators’ tactics, and conducted a technical analysis of Microsoft vulnerability CVE-2025-29824. This vulnerability was the only one among the 121 patched in April 2025 that was actively exploited in the wild. It was specifically targeted by an exploit integrated into the PipeMagic infection chain. The vulnerability allowed privilege escalation in the operating system due to a flaw in the clfs.sys logging driver.
One of the 2025 campaign attacks leveraged a Microsoft Help Index File, which serves two purposes: decrypting and executing shellcode. The shellcode is encrypted using the RC4 stream cipher with a hexadecimal key. Once decrypted, the code is executed via the WinAPI EnumDisplayMonitors function, allowing dynamic resolution of system API addresses through process injection.
Researchers also identified updated versions of the PipeMagic loader masquerading as a ChatGPT client. This application resembles the one used in the 2024 attacks on Saudi organizations — sharing the same Tokio and Tauri frameworks, the same libaes library version, and demonstrating similar file structures and behavior.
“The reemergence of PipeMagic confirms that this malware remains active and continues to evolve. The 2024 versions introduced enhancements that improve persistence within victims’ infrastructures and facilitate lateral movement within targeted networks,” comments Leonid Bezvershenko, senior security researcher at Kaspersky GReAT.
“In recent years, clfs.sys has become an increasingly popular target for cybercriminals, particularly financially motivated actors. They are leveraging zero-day vulnerabilities in this and other drivers to escalate privileges and conceal post-exploitation activities. To mitigate such threats, we recommend using EDR tools, which enable both early and post-exploitation detection of suspicious behavior,” notes Pavel Blinnikov, Vulnerability Research Lead, BI.ZONE.
PipeMagic is a backdoor first discovered by Kaspersky in 2022 during an investigation into a malicious campaign involving RansomExx. Victims at the time included industrial companies in Southeast Asia. The attackers exploited the CVE-2017-0144 vulnerability to gain access to internal infrastructure. The backdoor supports two operational modes — functioning either as a full-featured remote access tool or as a network proxy, enabling execution of a wide range of commands. In October 2024, a new iteration of PipeMagic was observed in attacks against organizations in Saudi Arabia, using a fake ChatGPT agent application as a lure.
Read the full report on Securelist.com.

Related Posts:

Kaspersky and partners launch a career orientation test to inspire more girls into cybersecurity

US government shutdown continues with no end in sight

Dubai Land Department participates in AccessAbilities Expo 2025 to promote inclusion and integration within the real estate sector

Meet Dr. Jamil El-Imad’s Digital Twin: The AI Who Can Talk Back

Global Tech Leaders Unite to Propel Emerging Future-Critical Sectors at GITEX GLOBAL 2025

Discover a Festive Season of Wonder Rooted in Island Traditions at Centara’s Maldivian Resorts

Assiut in Egypt and Kathmandu in Nepal Lead the Fastest-Growing Destinations, While Najran, Al-Baha, and Abha Top Domestic Tourism

Strategic Partnership Between Raya Electronics and Johnson Controls Arabia to Deliver YORK HVAC Solutions to Egypt’s Real Estate Market

آخر الأخبار
وزير الثقافة: نصر أكتوبر أصبح نصرين بفوز خالد العنانى بمنصب مدير عام اليونسكو وزير الأوقاف يشهد احتفال الأزهر الشريف بالذكرى الثانية والخمسين لانتصارات أكتوبر المجيدة رئيس الوزراء يهنئ الدكتور خالد العناني بفوزه بمنصب مدير منظمة اليونسكو خالد العنانى: أشكر مصر.. وسأتعاون مع كل البلدان دون أجندات جغرافية فوز خالد العناني مدير عام اليونسكو باكتساح Kaspersky and partners launch a career orientation test to inspire more girls into cybersecurity وزير الإسكان: غدًا بدء تسليم دفعة جديدة من وحدات «سكن مصر» بالقاهرة الجديدة وزير البترول يتفقد الحفار البحري (القاهر-2) استعدادًا لحفر بئر جديدة لإيني الإيطالية في البحر المتوس... رئيس الوزراء يترأس اجتماع اللجنة العليا لشئون المشاركة بنك القاهرة يمدد اعتماد شهادة الأيزو في مجال الحوكمة المؤسسية  ISO 37000 للعام الثانى على التوالى دينا الشربيني وصبا مبارك في مغامرة الطيران الأولى من نوعها في الجونة قادة التكنولوجيا الناشئة حول العالم يجتمعون في "جيتكس جلوبال 2025" لدفع مسارات التقدم في مختلف القطا... المهندس سمير فوزي السيد يهنئ الشعب المصري والرئيس السيسي والقوات المسلحة بذكرى انتصار أكتوبر "التخصصي" يستعرض ابتكاراته في ملتقى الصحة العالمي 2025 بالرياض بنك الفجيرة الوطني يدعم الابتكار في البنية التحتية للطاقة المتوسطة لتعزيز الطاقة اللامركزية والشبكات... وزير الخارجية يلتقي المندوب الدائم لجنوب أفريقيا لدى اليونسكو والرئيس الحالي للمجموعة الأفريقية Ooredoo الكويت و"انفوبيب" تطلقان عصراً جديداً من تجارب العملاء المدعومة بالذكاء الاصطناعي التفاعلي ريكسوس مارينا أبوظبي يتعاون مع القافلة الوردية لاستضافة فعالية رايد ويذ ريكسوس في أكتوبر الجاري ماجد الفطيم تعلن عن خطتها لإطلاق "غاف وودز مول" ليكون الوجهة الأولى من نوعها المتكاملة مع الغابات ودائع "ويو بنك" تتجاوز 50 مليار درهم إماراتي