Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Ballista Botnet Exploits Vulnerabilidad de TP-Link sin parpadeo, infecta más de 6,000 dispositivos
  • Tecnología

Ballista Botnet Exploits Vulnerabilidad de TP-Link sin parpadeo, infecta más de 6,000 dispositivos

teknomers 11 de Mart de 2025 (Last updated: 11 de Mart de 2025) 4 minutes read
Ballista Botnet Exploits Vulnerabilidad de TP-Link sin parpadeo, infecta más


11 de marzo de 2025Ravie LakshmananSeguridad / vulnerabilidad de la red

Los enrutadores Archer TP-Link sin parpadear se han convertido en el objetivo de una nueva campaña de Botnet denominada Ballista, según nuevos hallazgos del equipo de CATO CTRL.

“El Botnet explota una vulnerabilidad de ejecución de código remoto (RCE) en los enrutadores Archer TP-Link (CVE-2023-1389) para propagarse automáticamente a través de Internet”, dijeron los investigadores de seguridad dek Vardi y Matan Mittelman en un informe técnico compartido con Hacker News.

CVE-2023-1389 es una falla de seguridad de alta severidad que afecta los enrutadores TP-Link Archer AX-21 que podrían conducir a la inyección de comandos, que luego podrían allanar el camino para la ejecución del código remoto.

La evidencia más temprana de explotación activa de la falla se remonta a abril de 2023, con actores de amenaza no identificados que lo usan para soltar malware Mirai Botnet. Desde entonces, también se ha abusado de propagar a otras familias de malware como Condi y Androxgh0st.

Ciberseguridad

Cato CTRL dijo que detectó la campaña Ballista el 10 de enero de 2025. El intento de explotación más reciente se registró el 17 de febrero.

La secuencia de ataque implica el uso de un gotero de malware, un script de shell (“dropbpb.sh”) que está diseñado para obtener y ejecutar el binario principal en el sistema de destino para diversas arquitecturas del sistema como MIPS, MIPSEL, ARMV5L, ARMV7L y X86_64.

Una vez ejecutado, el malware establece un canal de comando y control (C2) cifrado en el puerto 82 para tomar el control del dispositivo.

“Esto permite que ejecutar comandos de shell realice más ataques de RCE y denegación de servicio (DOS)”, dijeron los investigadores. “Además, el malware intenta leer archivos confidenciales en el sistema local”.

Ballista Botnet

Algunos de los comandos compatibles se enumeran a continuación –

  • inundación, que desencadena un ataque de inundación
  • Exploitador, que explota CVE-2023-1389
  • Inicio, un parámetro opcional que se usa con el explotador para iniciar el módulo
  • Cerrar, que detiene la función de activación del módulo
  • Shell, que ejecuta un comando Linux Shell en el sistema local.
  • killall, que se usa para terminar el servicio

Además, es capaz de terminar instancias anteriores de sí misma y borrar su propia presencia una vez que comienza la ejecución. También está diseñado para extenderse a otros enrutadores intentando explotar el defecto.

Ciberseguridad

El uso de la ubicación de la dirección IP C2 (2.237.57[.]70) y la presencia de cadenas de idiomas italianos en los binarios de malware sugiere la participación de un actor de amenaza italiana desconocida, dijo la compañía de seguridad cibernética.

Dicho esto, parece que el malware está en desarrollo activo dado que la dirección IP ya no es funcional y existe una nueva variante del gotero que utiliza dominios de red TOR en lugar de una dirección IP codificada.

Una búsqueda sobre la plataforma de gestión de la superficie de ataque censica revela que Más de 6,000 dispositivos están infectados por Ballista. Las infecciones se concentran en Brasil, Polonia, el Reino Unido, Bulgaria y Turquía.

Se ha encontrado que la botnet se dirige a las organizaciones de fabricación, médica/salud, servicios y tecnología en los Estados Unidos, Australia, China y México.

“Si bien esta muestra de malware comparte similitudes con otras botnets, sigue siendo distinto de botnets ampliamente utilizados como Mirai y Mozi”, dijeron los investigadores.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Granista de cerdos que mató a la esposa y dejó al cuerpo en tanque séptico para huir con su amante muere en prisión de 92 años
Next: Wall Street pierde la esperanza en un ‘Put’ de Trump para los mercados

Related Stories

Para evitar los impuestos de Trump, Apple destina 30 mil
  • Tecnología

Para evitar los impuestos de Trump, Apple destina 30 mil millones de dólares a chips “Made in USA”

teknomers 9 de Temmuz de 2026
Samsung y Google quieren adelantarse al iPhone Fold este verano
  • Tecnología

Samsung y Google quieren adelantarse al iPhone Fold este verano

teknomers 9 de Temmuz de 2026
La imprescindible ratón gamer Logitech G502 Lightspeed y sus 11
  • Tecnología

La imprescindible ratón gamer Logitech G502 Lightspeed y sus 11 botones está rebajada al -50% durante las Rebajas.

teknomers 8 de Temmuz de 2026

You May Have Missed

  • General

El negociador jefe de Irán afirma que el estrecho de Hormuz se abrirá solo bajo ‘arreglos iraníes’

teknomers 9 de Temmuz de 2026
  • Deporte

Campeonato de Naciones: Kane James en la lista para su debut con Gales contra Argentina

teknomers 9 de Temmuz de 2026
  • General

JD Vance emite una dura advertencia a Irán: ‘Dejen de atacar barcos o enfrentarán una respuesta más contundente de EE. UU.’ – Teknomers

teknomers 9 de Temmuz de 2026
  • General

Estados Unidos: acusado de violación, un candidato demócrata se retira en un estado clave para el control del Senado

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.