Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La botnet Quad7 se expande para atacar enrutadores SOHO y dispositivos VPN
  • Tecnología

La botnet Quad7 se expande para atacar enrutadores SOHO y dispositivos VPN

teknomers 11 de Eylül de 2024 (Last updated: 11 de Eylül de 2024) 4 minutes read
La botnet Quad7 se expande para atacar enrutadores SOHO y


11 de septiembre de 2024Ravie LakshmananSeguridad de la red / Piratería informática

Los operadores de la misteriosa botnet Quad7 están evolucionando activamente comprometiendo varias marcas de enrutadores SOHO y dispositivos VPN aprovechando una combinación de fallas de seguridad conocidas y desconocidas.

Los objetivos incluyen dispositivos de TP-LINK, Zyxel, Asus, Axentra, D-Link y NETGEAR, según un nuevo informe de la empresa francesa de ciberseguridad Sekoia.

“Los operadores de la botnet Quad7 parecen estar evolucionando su conjunto de herramientas, introduciendo una nueva puerta trasera y explorando nuevos protocolos, con el objetivo de mejorar el sigilo y evadir las capacidades de seguimiento de sus cajas de retransmisión operativa (ORB)”, dijeron los investigadores Felix Aimé, Pierre-Antoine D. y Charles M. dicho.

Quad7, también llamado 7777, fue primero documentado públicamente por el investigador independiente Gi7w0rm en octubre de 2023, destacando el patrón del grupo de actividad de atrapar enrutadores TP-Link y grabadoras de video digitales (DVR) Dahua en una botnet.

Ciberseguridad

Se ha observado que la botnet, que recibe su nombre del hecho de que abre el puerto TCP 7777 en dispositivos comprometidos, realiza ataques de fuerza bruta contra instancias de Microsoft 3665 y Azure.

“La botnet también parece infectar otros sistemas como MVPower, Zyxel NAS y GitLab, aunque en un volumen muy bajo”, dijo Jacob Baines de VulnCheck. anotado A principios de enero, la botnet no solo inicia un servicio en el puerto 7777, sino que también pone en marcha un servidor SOCKS5 en el puerto 11228.

Análisis posteriores realizados por Sekoia y Team Cymru durante los últimos meses descubrieron que la botnet no solo ha comprometido enrutadores TP-Link en Bulgaria, Rusia, EE. UU. y Ucrania, sino que desde entonces también se ha expandido para atacar enrutadores ASUS que tienen abiertos los puertos TCP 63256 y 63260.

Red de bots Quad7

Los últimos hallazgos muestran que la botnet está compuesta por tres grupos adicionales:

  • xlogin (también conocido como botnet 7777): una botnet compuesta por enrutadores TP-Link comprometidos que tienen abiertos los puertos TCP 7777 y 11288
  • alogin (también conocida como botnet 63256): una botnet compuesta por enrutadores ASUS comprometidos que tienen abiertos los puertos TCP 63256 y 63260
  • rlogin: una botnet compuesta por dispositivos Ruckus Wireless comprometidos que tienen abierto el puerto TCP 63210
  • axlogin: una botnet capaz de atacar dispositivos NAS de Axentra (aún no se ha detectado en la red)
  • zylogin: una botnet compuesta por dispositivos VPN Zyxel comprometidos que tienen abierto el puerto TCP 3256

Sekoia dijo a The Hacker News que los países con mayor número de infecciones son Bulgaria (1.093), Estados Unidos (733) y Ucrania (697).

Ciberseguridad

En otra señal de evolución táctica, los actores de amenazas ahora utilizan una nueva puerta trasera denominada UPDTAE que establece un shell inverso basado en HTTP para establecer control remoto en los dispositivos infectados y ejecutar comandos enviados desde un servidor de comando y control (C2).

Actualmente no está claro cuál es el propósito exacto de la botnet o quién está detrás de ella, pero la compañía dijo que la actividad probablemente sea obra de un actor de amenazas patrocinado por el estado chino.

“En relación con el 7777 [botnet]“Solo hemos visto intentos de ataque por fuerza bruta contra cuentas de Microsoft 365”, dijo Aimé a la publicación. “En cuanto a las otras botnets, todavía no sabemos cómo se utilizan”.

“Sin embargo, después de los intercambios con otros investigadores y los nuevos hallazgos, estamos casi seguros de que es más probable que los operadores sean patrocinados por el estado de CN en lugar de simples cibercriminales. [business email compromise].”

“Vemos que el actor de la amenaza intenta ser más sigiloso al usar nuevos programas maliciosos en los dispositivos periféricos afectados. El objetivo principal de esa medida es evitar el seguimiento de las redes de bots afiliadas”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Robin Gosens: el profesional de la DFB se siente más cómodo en Italia que en Alemania
Next: El flequillo extremadamente corto de Kendall Jenner transmite la energía rockera de los 90

Related Stories

Prueba del TCL Z100: el home cinema inalámbrico nunca ha
  • Tecnología

Prueba del TCL Z100: el home cinema inalámbrico nunca ha sido tan sencillo

teknomers 16 de Temmuz de 2026
Meta AI: alerta parental si un adolescente habla de suicidio
  • Tecnología

Meta AI: alerta parental si un adolescente habla de suicidio

teknomers 16 de Temmuz de 2026
Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida
  • Tecnología

Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida durante más de diez años

teknomers 16 de Temmuz de 2026

You May Have Missed

  • Finanzas

Presupuesto 2027: la Defensa se lleva el premio, los demás ministerios obligados a apretarse el cinturón

teknomers 16 de Temmuz de 2026
Banderole en las Malvinas exhibida por los argentinos: Londres solicita
  • Deporte

Banderole en las Malvinas exhibida por los argentinos: Londres solicita una investigación a la FIFA

teknomers 16 de Temmuz de 2026
  • Cultura

La taquilla del rapero Jul en el V and B Fest’ abre este viernes… con cuatro días de retraso.

teknomers 16 de Temmuz de 2026
Prueba del TCL Z100: el home cinema inalámbrico nunca ha
  • Tecnología

Prueba del TCL Z100: el home cinema inalámbrico nunca ha sido tan sencillo

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.