Los investigadores de ciberseguridad han descubierto una red de bots nunca antes vista que comprende un ejército de dispositivos de pequeñas oficinas/oficinas en el hogar (SOHO) e IoT que probablemente son operados por un actor de amenazas de un estado nacional chino llamado Flax Typhoon (también conocido como Ethereal Panda o RedJuliett).
La sofisticada botnet, denominada Tren Raptor Se cree que el malware, creado por Black Lotus Labs de Lumen, ha estado operativo al menos desde mayo de 2020, alcanzando un pico de 60.000 dispositivos activamente comprometidos en junio de 2023.
«Desde entonces, se han incorporado más de 200.000 enrutadores SOHO, dispositivos NVR/DVR, servidores de almacenamiento conectados a la red (NAS) y cámaras IP; todos ellos a la botnet Raptor Train, lo que la convierte en una de las botnets de IoT patrocinadas por el estado chino más grandes descubiertas hasta la fecha», dijo la empresa de ciberseguridad. dicho en un informe de 81 páginas compartido con The Hacker News.
Se estima que la infraestructura que alimenta la botnet ha atrapado a cientos de miles de dispositivos desde su formación, y la red está impulsada por una arquitectura de tres niveles que consta de lo siguiente:
- Nivel 1: dispositivos SOHO/IoT comprometidos
- Nivel 2: servidores de explotación, servidores de carga útil y servidores de comando y control (C2)
- Nivel 3: Nodos de gestión centralizados y una interfaz de aplicación Electron multiplataforma denominada Sparrow (también conocida como herramienta de control integral de nodos o NCCT)
La forma en que funciona es que las tareas de los bots se inician desde los nodos de administración de nivel 3 «Sparrow», que luego se enrutan a través de los servidores C2 de nivel 2 apropiados y posteriormente se envían a los propios bots en el nivel 1, que constituye una gran parte de la botnet.
Algunos de los dispositivos atacados incluyen enrutadores, cámaras IP, DVR y NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel.
La mayoría de los nodos de nivel 1 se han geolocalizado en EE. UU., Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Cada uno de estos nodos tiene una vida útil promedio de 17,44 días, lo que indica la capacidad del actor de amenazas para reinfectar los dispositivos a voluntad.
«En la mayoría de los casos, los operadores no incorporaron un mecanismo de persistencia que sobreviva a un reinicio», señaló Lumen.
«La confianza en la reexplotabilidad proviene de la combinación de una amplia gama de exploits disponibles para una amplia gama de dispositivos SOHO e IoT vulnerables y una enorme cantidad de dispositivos vulnerables en Internet, lo que le otorga a Raptor Train una especie de persistencia ‘inherente'».
Los nodos están infectados por un implante en memoria identificado como Nosedive, una variante personalizada de la botnet Mirai, a través de servidores de carga útil de nivel 2 configurados explícitamente para este propósito. El binario ELF incluye capacidades para ejecutar comandos, cargar y descargar archivos y lanzar ataques DDoS.
Por otro lado, los nodos de nivel 2 se rotan aproximadamente cada 75 días y se encuentran principalmente en Estados Unidos, Singapur, el Reino Unido, Japón y Corea del Sur. La cantidad de nodos C2 ha aumentado de aproximadamente 1 a 5 entre 2020 y 2022 a no menos de 60 entre junio y agosto de 2024.
Estos nodos son flexibles ya que también actúan como servidores de explotación para incorporar nuevos dispositivos a la botnet, servidores de carga útil e incluso facilitar el reconocimiento de entidades específicas.
Al menos cuatro campañas diferentes se han vinculado a la botnet Raptor Train en constante evolución desde mediados de 2020, cada una de las cuales se distingue por los dominios raíz utilizados y los dispositivos atacados.
- Crossbill (de mayo de 2020 a abril de 2022): uso del dominio raíz C2 k3121.com y subdominios asociados
- Finch (de julio de 2022 a junio de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados
- Canary (desde mayo de 2023 hasta agosto de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados, mientras se confía en cuentagotas de múltiples etapas
- Oriole (de junio de 2023 a septiembre de 2024): uso del dominio raíz C2 w8510.com y subdominios C2 asociados
La campaña Canary, que tuvo como principales objetivos los módems ActionTec PK5000, las cámaras IP Hikvision, los NVR Shenzhen TVT y los enrutadores ASUS, se destaca por emplear una cadena de infección de múltiples capas propia para descargar un script bash de primera etapa, que se conecta a un servidor de carga útil de nivel 2 para recuperar Nosedive y un script bash de segunda etapa.
El nuevo script bash, a su vez, intenta descargar y ejecutar un script bash de tercera etapa desde el servidor de carga útil cada 60 minutos.
«De hecho, el dominio C2 w8510.com para [the Oriole] «La campaña se volvió tan prominente entre los dispositivos IoT comprometidos que, el 3 de junio de 2024, se incluyó en las clasificaciones de dominios de Cisco Umbrella», afirmó Lumen.
«Al menos el 7 de agosto de 2024, también se incluyó en el millón de dominios principales de Cloudflare Radar. Este es un logro preocupante porque los dominios que están en estas listas de popularidad a menudo eluden las herramientas de seguridad a través de la inclusión de dominios en listas blancas, lo que les permite crecer y mantener el acceso y evitar aún más la detección».
Hasta la fecha no se han detectado ataques DDoS que emanen de la botnet, aunque la evidencia muestra que ha sido utilizada como arma para atacar a entidades estadounidenses y taiwanesas en los sectores militar, gubernamental, de educación superior, de telecomunicaciones, de base industrial de defensa (DIB) y de tecnología de la información (TI).
Es más, los bots involucrados en Raptor Train probablemente hayan llevado a cabo posibles intentos de explotación contra servidores Atlassian Confluence y dispositivos Ivanti Connect Secure (ICS) en las mismas verticales, lo que sugiere esfuerzos de escaneo generalizados.
Los vínculos con Flax Typhoon (un equipo de piratas informáticos con antecedentes de atacar entidades en Taiwán, el sudeste asiático, América del Norte y África) se derivan de superposiciones en la huella de victimología, el uso del idioma chino y otras similitudes tácticas.
«Este es un sistema de control robusto y de nivel empresarial que se utiliza para administrar más de 60 servidores C2 y sus nodos infectados en un momento dado», afirmó Lumen.
«Este servicio permite un conjunto completo de actividades, incluida la explotación escalable de bots, la gestión de vulnerabilidades y exploits, la gestión remota de la infraestructura C2, la carga y descarga de archivos, la ejecución remota de comandos y la capacidad de adaptar los ataques de denegación de servicio distribuido (DDoS) basados en IoT a escala».