Nightmare Eclipse vetado en GitHub y GitLab, promete un ataque el 14 de julio

El investigador de seguridad detrás de seis revelaciones de día cero de Windows en seis semanas ha sido eliminado tanto de GitHub como de GitLab con pocos días de diferencia y ahora opera exclusivamente desde un blog personal. El investigador, que se hace llamar Nightmare-Eclipse, Chaotic Eclipse y Dead Eclipse, ha respondido con una amenaza explícita dirigida al 14 de julio, fecha del martes de parches del próximo mes.

Se acusó a Microsoft de marcar y borrar los repositorios de GitHub en torno al 23 de mayo de 2026. El investigador se trasladó a GitLab, pero GitLab suspendió la cuenta los días 26 y 27 de mayo por alojar código de exploits de día cero convertido en arma. Con las dos principales plataformas de alojamiento de código ahora cerradas, el investigador está publicando directamente en su propio blog y ha señalado que la interrupción no ha cambiado sus planes.

Seis días cero en seis semanas

Desde principios de abril de 2026, Nightmare Eclipse ha lanzado públicamente pruebas de concepto para seis vulnerabilidades de Windows: BlueHammer, RedSun, UnDefend YellowKey, Plasma Verde, y MiniPlasma. Ninguno fue revelado a través de canales coordinados antes de su publicación. Los seis componentes atacados se encuentran en la capa de seguridad del punto final o por debajo de ella.

Microsoft ya ha parcheado tres de los seis. A BlueHammer se le asignó CVE-2026-33825 y se solucionó en el martes de parches del 14 de abril. RedSun y UnDefend fueron abordados fuera de banda el 21 de mayo como CVE-2026-41091 y CVE-2026-45498 después de que Huntress confirmara la explotación activa de los tres en ataques del mundo real. CISA añadió las tres a su catálogo de Vulnerabilidades Explotadas Conocidas, y las agencias federales están obligadas a parchear CVE-2026-41091 y CVE-2026-45498 antes del 3 de junio.

YellowKeygreenPlasma y MiniPlasma siguen sin parchear a fecha de publicación. MiniPlasma tiene como objetivo el controlador del Filtro de Nube de Windows y puede escalar una cuenta de usuario estándar a SISTEMA en sistemas Windows 11 totalmente parcheados que ejecuten las últimas actualizaciones de mayo de 2026. BleepingComputer y varios investigadores independientes confirmaron que el exploit funciona sin modificaciones.

¿Qué podría significar el 14 de julio?

En un post firmado en https://deadeclipse666.blogspot.com/el investigador se dirigió directamente a Microsoft: "Marque esta fecha, 14 de julio. Ese día me aseguraré de que sus huesos queden destrozados" Indicaron que no hay previstas nuevas revelaciones para junio, aunque se reservaron el derecho a cambiar de rumbo. En publicaciones anteriores se advertía de la intención de escalar a vulnerabilidades de ejecución remota de código si Microsoft seguía desestimando sus informes.

El hecho de haber sido eliminado tanto de GitHub como de GitLab elimina los canales de distribución más fáciles para los binarios compilados y el código fuente, pero un blog personal con descargas directas consigue el mismo resultado para cualquier investigador dispuesto a mantenerlo. Los analistas de seguridad de Barracuda Networks han observado que la cadena de exploits Nightmare Eclipse, que combina la elevación de privilegios a través de BlueHammer, RedSun o MiniPlasma con la supresión de Defender a través de UnDefend, ya se ha visto en intrusiones confirmadas en la red. Queda por ver si aparecerá nuevo material el 14 de julio como una prueba de concepto, un lanzamiento de ejecución remota de código o algo más. Este investigador emitió todas las advertencias previas antes de hacer una revelación real.