Los investigadores de seguridad cibernética han revelado que un actor de amenaza con nombre en código ViciousTrap ha comprometido a casi 5.300 dispositivos únicos de borde de red en 84 países y los ha convertido en una red similar a un honeypot.
Se ha observado que el actor de amenaza explota una falla crítica de seguridad que afecta a Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 Routers (CVE-2023-20118) para acorralarlos en un conjunto de abonos en masa en masa. La mayoría de las infecciones se encuentran en Macao, con 850 dispositivos comprometidos.
“La cadena de infección implica la ejecución de un script de shell, denominado Netghost, que redirige el tráfico entrante de puertos específicos del enrutador comprometido a una infraestructura similar a la honeypot bajo el control del atacante, lo que les permite interceptar flujos de redes”, sekoia “, Sekoia dicho en un análisis publicado el jueves.
Vale la pena señalar que la explotación de CVE-2023-20118 fue atribuida previamente por la compañía francesa de ciberseguridad a otra botnet denominada Polaredge.
Si bien no hay evidencia de que estos dos conjuntos de actividades estén conectados, se cree que el actor de amenaza detrás de ViciousTrap está configurando infraestructura de honeypot violando una amplia gama de equipos orientados a Internet, incluidos los enrutadores SOHO, SSL VPNS, DVRS y los controladores BMC de más que 50 marcas como Araknis Networks, ASUS, D-Link, Linksys y Qnap.
“Esta configuración permitiría al actor observar intentos de explotación en múltiples entornos y potencialmente recolectar exploits no públicos o de día cero, y reutilizar el acceso obtenido por otros actores de amenazas”, agregó.
La cadena de ataque implica la arma de CVE-2023-20118 para descargar y ejecutar un script bash a través de ftpget, que luego contacta a un servidor externo para obtener el binario WGET. En el siguiente paso, la falla de Cisco se explota por segunda vez, usándola para ejecutar un segundo script recuperado utilizando el WGet previamente descartado.
El script de shell de la segunda etapa, referenciado internamente como NetGhost, está configurado para redirigir el tráfico de red del sistema comprometido a la infraestructura de terceros controlada por el atacante, facilitando así los ataques adversarios en el medio (AITM). También viene con capacidades para retirarse del host comprometido para minimizar el sendero forense.
Sekoia dijo que todos los intentos de explotación se han originado a partir de una sola dirección IP (“101.99.91[.]151 “), con la actividad más temprana que se remonta a marzo de 2025. En un evento notable observado un mes después, se dice que los actores de ViciousTrap reutilizaron un caparazón web indocumentado previamente empleado en ataques de Botnet Polaredge para sus propias operaciones.
“Esta suposición se alinea con el uso del atacante de Netghost”, dijeron los investigadores de seguridad Felix Aimé y Jeremy Scion. “El mecanismo de redirección posiciona efectivamente al atacante como un observador silencioso, capaz de recolectar intentos de explotación y, potencialmente, accesos de shell web en tránsito”.
Tan recientemente como este mes, los esfuerzos de explotación también se han dirigido a los enrutadores ASUS pero desde una dirección IP diferente (“101.99.91[.]239 “), aunque no se ha encontrado que los actores de la amenaza creen honeypot en los dispositivos infectados. Todas las direcciones IP utilizadas activamente en la campaña se encuentran en Malasia y son parte de un sistema autónomo (AS45839) operado por el proveedor de alojamiento Shinjiru.
Se cree que el actor es de origen de habla china sobre la base de una superposición débil con la infraestructura de Gobrat y el hecho de que el tráfico se redirige a numerosos activos en Taiwán y Estados Unidos.
“El objetivo final de ViciousTrap sigue sin estar claro incluso [though] Evaluamos con gran confianza que es una red de estilo honeypot “, concluyó Sekoia.
About the Author
