{"id":1356645,"date":"2024-09-11T17:22:14","date_gmt":"2024-09-11T17:22:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-botnet-quad7-se-expande-para-atacar-enrutadores-soho-y-dispositivos-vpn\/"},"modified":"2024-09-11T17:22:18","modified_gmt":"2024-09-11T17:22:18","slug":"la-botnet-quad7-se-expande-para-atacar-enrutadores-soho-y-dispositivos-vpn","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-botnet-quad7-se-expande-para-atacar-enrutadores-soho-y-dispositivos-vpn\/","title":{"rendered":"La botnet Quad7 se expande para atacar enrutadores SOHO y dispositivos VPN"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de la red \/ Pirater\u00eda inform\u00e1tica<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/La-botnet-Quad7-se-expande-para-atacar-enrutadores-SOHO-y.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los operadores de la misteriosa botnet Quad7 est\u00e1n evolucionando activamente comprometiendo varias marcas de enrutadores SOHO y dispositivos VPN aprovechando una combinaci\u00f3n de fallas de seguridad conocidas y desconocidas.<\/p>\n<p>Los objetivos incluyen dispositivos de TP-LINK, Zyxel, Asus, Axentra, D-Link y NETGEAR, seg\u00fan un nuevo informe de la empresa francesa de ciberseguridad Sekoia.<\/p>\n<p>&#8220;Los operadores de la botnet Quad7 parecen estar evolucionando su conjunto de herramientas, introduciendo una nueva puerta trasera y explorando nuevos protocolos, con el objetivo de mejorar el sigilo y evadir las capacidades de seguimiento de sus cajas de retransmisi\u00f3n operativa (ORB)&#8221;, dijeron los investigadores Felix Aim\u00e9, Pierre-Antoine D. y Charles M. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets\/\" target=\"_blank\">dicho<\/a>. <\/p>\n<p>Quad7, tambi\u00e9n llamado 7777, fue <a rel=\"nofollow noopener\" href=\"https:\/\/gi7w0rm.medium.com\/the-curious-case-of-the-7777-botnet-86e3464c3ffd\" target=\"_blank\">primero documentado p\u00fablicamente<\/a> por el investigador independiente Gi7w0rm en octubre de 2023, destacando el patr\u00f3n del grupo de actividad de atrapar enrutadores TP-Link y grabadoras de video digitales (DVR) Dahua en una botnet.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-what-is-a-trust-center\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725974414_761_Expertos-identifican-tres-grupos-vinculados-a-China-que-estan-detras.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se ha observado que la botnet, que recibe su nombre del hecho de que abre el puerto TCP 7777 en dispositivos comprometidos, realiza ataques de fuerza bruta contra instancias de Microsoft 3665 y Azure.<\/p>\n<p>&#8220;La botnet tambi\u00e9n parece infectar otros sistemas como MVPower, Zyxel NAS y GitLab, aunque en un volumen muy bajo&#8221;, dijo Jacob Baines de VulnCheck. <a rel=\"nofollow noopener\" href=\"https:\/\/vulncheck.com\/blog\/ip-intel-7777-botnet\" target=\"_blank\">anotado<\/a> A principios de enero, la botnet no solo inicia un servicio en el puerto 7777, sino que tambi\u00e9n pone en marcha un servidor SOCKS5 en el puerto 11228.<\/p>\n<p>An\u00e1lisis posteriores realizados por Sekoia y Team Cymru durante los \u00faltimos meses descubrieron que la botnet no solo ha comprometido enrutadores TP-Link en Bulgaria, Rusia, EE. UU. y Ucrania, sino que desde entonces tambi\u00e9n se ha expandido para atacar enrutadores ASUS que tienen abiertos los puertos TCP 63256 y 63260.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726075333_578_La-botnet-Quad7-se-expande-para-atacar-enrutadores-SOHO-y.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726075333_578_La-botnet-Quad7-se-expande-para-atacar-enrutadores-SOHO-y.png\" alt=\"Red de bots Quad7\" border=\"0\" data-original-height=\"1334\" data-original-width=\"2900\" title=\"Red de bots Quad7\"\/><\/a><\/div>\n<p>Los \u00faltimos hallazgos muestran que la botnet est\u00e1 compuesta por tres grupos adicionales:<\/p>\n<ul>\n<li>xlogin (tambi\u00e9n conocido como botnet 7777): una botnet compuesta por enrutadores TP-Link comprometidos que tienen abiertos los puertos TCP 7777 y 11288<\/li>\n<li>alogin (tambi\u00e9n conocida como botnet 63256): una botnet compuesta por enrutadores ASUS comprometidos que tienen abiertos los puertos TCP 63256 y 63260<\/li>\n<li>rlogin: una botnet compuesta por dispositivos Ruckus Wireless comprometidos que tienen abierto el puerto TCP 63210<\/li>\n<li>axlogin: una botnet capaz de atacar dispositivos NAS de Axentra (a\u00fan no se ha detectado en la red)<\/li>\n<li>zylogin: una botnet compuesta por dispositivos VPN Zyxel comprometidos que tienen abierto el puerto TCP 3256<\/li>\n<\/ul>\n<p>Sekoia dijo a The Hacker News que los pa\u00edses con mayor n\u00famero de infecciones son Bulgaria (1.093), Estados Unidos (733) y Ucrania (697).<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>En otra se\u00f1al de evoluci\u00f3n t\u00e1ctica, los actores de amenazas ahora utilizan una nueva puerta trasera denominada UPDTAE que establece un shell inverso basado en HTTP para establecer control remoto en los dispositivos infectados y ejecutar comandos enviados desde un servidor de comando y control (C2).<\/p>\n<p>Actualmente no est\u00e1 claro cu\u00e1l es el prop\u00f3sito exacto de la botnet o qui\u00e9n est\u00e1 detr\u00e1s de ella, pero la compa\u00f1\u00eda dijo que la actividad probablemente sea obra de un actor de amenazas patrocinado por el estado chino.<\/p>\n<p>&#8220;En relaci\u00f3n con el 7777 [botnet]\u201cSolo hemos visto intentos de ataque por fuerza bruta contra cuentas de Microsoft 365\u201d, dijo Aim\u00e9 a la publicaci\u00f3n. \u201cEn cuanto a las otras botnets, todav\u00eda no sabemos c\u00f3mo se utilizan\u201d.<\/p>\n<p>&#8220;Sin embargo, despu\u00e9s de los intercambios con otros investigadores y los nuevos hallazgos, estamos casi seguros de que es m\u00e1s probable que los operadores sean patrocinados por el estado de CN en lugar de simples cibercriminales. [business email compromise].&#8221;<\/p>\n<p>&#8220;Vemos que el actor de la amenaza intenta ser m\u00e1s sigiloso al usar nuevos programas maliciosos en los dispositivos perif\u00e9ricos afectados. El objetivo principal de esa medida es evitar el seguimiento de las redes de bots afiliadas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/quad7-botnet-expands-to-target-soho.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de septiembre de 2024\ue804Ravie LakshmananSeguridad de la red \/ Pirater\u00eda inform\u00e1tica Los operadores de la misteriosa botnet<\/p>\n","protected":false},"author":1,"featured_media":1356646,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4586,4661,5895,4664,5718,30016,2151,4667,239182,4654,239508,4658,4659,4653,18,252921,246983,4665,246984,40832,246982,27565,239484],"class_list":["post-1356645","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacar","tag-ataques-ciberneticos","tag-botnet","tag-como-hackear","tag-dispositivos","tag-enrutadores","tag-expande","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-quad7","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-soho","tag-violacion-de-datos","tag-vpn","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1356645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1356645"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1356645\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1356646"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1356645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1356645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1356645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}