Descubierta una nueva campaña de la botnet Mirai que afecta a cámaras AVTech y routers Huawei

23 de enero de 2025

1,066

Descubierta una nueva campaña de la botnet Mirai que afecta a cámaras AVTech y routers Huawei

Qualys, Inc., proveedor de soluciones de cumplimiento y seguridad basadas en la nube, ha hecho público el descubrimiento de una operación a gran escala y actualmente en curso, bautizada como Murdoc_Botnet, que se ha demostrado como parte de la campaña de botnets Mirai. Detectada por la Unidad de Investigación de Amenazas (TRU) de Qualys, la nueva variante muestra capacidades mejoradas para comprometer dispositivos y establecer botnets expansivas.

Pero, ¿qué es una botnet?

Una botnet es un conjunto de ordenadores, denominados bots, infectados con un tipo de malware que son controlados remotamente por un atacante y que pueden ser utilizados de manera conjunta para realizar actividades maliciosas. Los dispositivos infectados que forman parte de una botnet también se conocen como bots o zombis. Cualquier equipo que tenga conexión a Internet como ordenadores, servidores, routers, dispositivos IoT, etc., puede infectarse y llegar a formar parte de una botnet.

Descubierto en 2016, más tarde latente y detectado por última vez en julio de 2024, Mirai es un malware persistente que infecta dispositivos inteligentes (IoT), convirtiéndolos en redes de bots controlados a distancia («zombies») que luego se utilizan para lanzar ataques DDoS. Durante un reciente análisis rutinario, el equipo de investigación de Qualys descubrió la nueva campaña activa, con más de 1.300 IP involucradas, que afecta a cámaras AVTech y a routers Huawei (en concreto, al modelo HG532). A través del sistema Qualys EDR (Endpoint Detection & Response), datos de inteligencia de amenazas y de fuentes abiertas (OSINT), los expertos de Qualys ha podido probar que Murdoc_Botnet es una variante de Mirai.

En la nueva campaña, “Murdoc_Botnet” utiliza algunos exploits existentes como (CVE-2024-7029, CVE-2017-17215) para inyectar cargas útiles. En el análisis se han localizado más de 100 conjuntos de servidores encargados de comunicar con las IP comprometidas. En cuanto al flujo de infección, está basado en archivos ELF y ShellScript: el archivo se carga en el dispositivo, tras lo cual el servidor C2 se ocupa de instalar la botnet.

“El malware Mirai aprovecha problemas de seguridad de los dispositivos IoT, lo que le confiere la capacidad de convertir el poder colectivo de millones de dispositivos en botnets cuyo alcance puede ser global”, explica Sergio Pedroche, Country Manager de Qualys Iberia. “Solo la utilización de tecnologías avanzadas puede proporcionar una defensa proactiva”.

Recomendaciones contra la nueva variante

Desde la Unidad de Investigación de Amenazas de Qualys, se recomiendan una serie de medidas clave para identificar y protegerse contra tales ataques:

Monitorizar periódicamente los procesos sospechosos, eventos y tráfico de red generados por la ejecución de cualquier binario/script no fiable.
Ser siempre cauteloso al ejecutar scripts de shell provenientes de fuentes desconocidas.
Mantener los sistemas y el firmware actualizados con las últimas versiones y parches.

Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Revista Ciberseguridad

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.