Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • ViciousTrap utiliza fallas de Cisco para construir honeypot global a partir de 5.300 dispositivos comprometidos
  • Tecnología

ViciousTrap utiliza fallas de Cisco para construir honeypot global a partir de 5.300 dispositivos comprometidos

teknomers 23 de Mayıs de 2025 (Last updated: 23 de Mayıs de 2025) 4 minutes read
ViciousTrap utiliza fallas de Cisco para construir honeypot global a


23 de mayo de 2025Ravie LakshmananInteligencia de amenazas / seguridad de la red

Los investigadores de seguridad cibernética han revelado que un actor de amenaza con nombre en código ViciousTrap ha comprometido a casi 5.300 dispositivos únicos de borde de red en 84 países y los ha convertido en una red similar a un honeypot.

Se ha observado que el actor de amenaza explota una falla crítica de seguridad que afecta a Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 Routers (CVE-2023-20118) para acorralarlos en un conjunto de abonos en masa en masa. La mayoría de las infecciones se encuentran en Macao, con 850 dispositivos comprometidos.

“La cadena de infección implica la ejecución de un script de shell, denominado Netghost, que redirige el tráfico entrante de puertos específicos del enrutador comprometido a una infraestructura similar a la honeypot bajo el control del atacante, lo que les permite interceptar flujos de redes”, sekoia “, Sekoia dicho en un análisis publicado el jueves.

Ciberseguridad

Vale la pena señalar que la explotación de CVE-2023-20118 fue atribuida previamente por la compañía francesa de ciberseguridad a otra botnet denominada Polaredge.

Si bien no hay evidencia de que estos dos conjuntos de actividades estén conectados, se cree que el actor de amenaza detrás de ViciousTrap está configurando infraestructura de honeypot violando una amplia gama de equipos orientados a Internet, incluidos los enrutadores SOHO, SSL VPNS, DVRS y los controladores BMC de más que 50 marcas como Araknis Networks, ASUS, D-Link, Linksys y Qnap.

“Esta configuración permitiría al actor observar intentos de explotación en múltiples entornos y potencialmente recolectar exploits no públicos o de día cero, y reutilizar el acceso obtenido por otros actores de amenazas”, agregó.

La cadena de ataque implica la arma de CVE-2023-20118 para descargar y ejecutar un script bash a través de ftpget, que luego contacta a un servidor externo para obtener el binario WGET. En el siguiente paso, la falla de Cisco se explota por segunda vez, usándola para ejecutar un segundo script recuperado utilizando el WGet previamente descartado.

El script de shell de la segunda etapa, referenciado internamente como NetGhost, está configurado para redirigir el tráfico de red del sistema comprometido a la infraestructura de terceros controlada por el atacante, facilitando así los ataques adversarios en el medio (AITM). También viene con capacidades para retirarse del host comprometido para minimizar el sendero forense.

Sekoia dijo que todos los intentos de explotación se han originado a partir de una sola dirección IP (“101.99.91[.]151 “), con la actividad más temprana que se remonta a marzo de 2025. En un evento notable observado un mes después, se dice que los actores de ViciousTrap reutilizaron un caparazón web indocumentado previamente empleado en ataques de Botnet Polaredge para sus propias operaciones.

Ciberseguridad

“Esta suposición se alinea con el uso del atacante de Netghost”, dijeron los investigadores de seguridad Felix Aimé y Jeremy Scion. “El mecanismo de redirección posiciona efectivamente al atacante como un observador silencioso, capaz de recolectar intentos de explotación y, potencialmente, accesos de shell web en tránsito”.

Tan recientemente como este mes, los esfuerzos de explotación también se han dirigido a los enrutadores ASUS pero desde una dirección IP diferente (“101.99.91[.]239 “), aunque no se ha encontrado que los actores de la amenaza creen honeypot en los dispositivos infectados. Todas las direcciones IP utilizadas activamente en la campaña se encuentran en Malasia y son parte de un sistema autónomo (AS45839) operado por el proveedor de alojamiento Shinjiru.

Se cree que el actor es de origen de habla china sobre la base de una superposición débil con la infraestructura de Gobrat y el hecho de que el tráfico se redirige a numerosos activos en Taiwán y Estados Unidos.

“El objetivo final de ViciousTrap sigue sin estar claro incluso [though] Evaluamos con gran confianza que es una red de estilo honeypot “, concluyó Sekoia.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Después de una temporada exitosa en la decisión de España para hacer entrenadores de ex barça
Next: Binnenring de A10 Noord cerró este fin de semana, luego trabaja en Buitenring y A10 South

Related Stories

El QD-OLED podría volverse más barato y más brillante gracias
  • Tecnología

El QD-OLED podría volverse más barato y más brillante gracias a este avance proveniente de Corea

teknomers 5 de Temmuz de 2026
La DGA apuesta por Greenerwave y Eutelsat para mejorar la
  • Tecnología

La DGA apuesta por Greenerwave y Eutelsat para mejorar la conexión de las fuerzas armadas francesas desde el espacio

teknomers 5 de Temmuz de 2026
Badge de telepeaje Fulli gratis + 12 meses de suscripción
  • Tecnología

Badge de telepeaje Fulli gratis + 12 meses de suscripción gratis: la opción sin costos antes del verano

teknomers 5 de Temmuz de 2026

You May Have Missed

  • General

Cita del Día de Oscar Wilde: ‘Solo hay dos tipos de personas que son realmente fascinantes: las que saben absolutamente todo, y…’

teknomers 5 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Grigor Dimitrov quiere reescribir la historia de Wimbledon tras la victoria de Matteo Berrettini

teknomers 5 de Temmuz de 2026
  • General

Guerra en Ucrania: Rusia instala ahora jaulas anti-drones en sus submarinos en el Mar Negro

teknomers 5 de Temmuz de 2026
  • General

El presidente de Irán, Pezeshkian, cuestiona el silencio de las instituciones internacionales sobre las ‘acciones’ de Israel en Asia Occidental

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.