{"id":1366496,"date":"2024-09-18T17:57:24","date_gmt":"2024-09-18T17:57:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-tren-raptor-botnet-de-iot-compromete-mas-de-200-000-dispositivos-en-todo-el-mundo\/"},"modified":"2024-09-18T17:57:28","modified_gmt":"2024-09-18T17:57:28","slug":"nuevo-tren-raptor-botnet-de-iot-compromete-mas-de-200-000-dispositivos-en-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-tren-raptor-botnet-de-iot-compromete-mas-de-200-000-dispositivos-en-todo-el-mundo\/","title":{"rendered":"Nuevo &quot;Tren Raptor&quot; Botnet de IoT compromete m\u00e1s de 200.000 dispositivos en todo el mundo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Nuevo-quotTren-Raptorquot-Botnet-de-IoT-compromete-mas-de-200000.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto una red de bots nunca antes vista que comprende un ej\u00e9rcito de dispositivos de peque\u00f1as oficinas\/oficinas en el hogar (SOHO) e IoT que probablemente son operados por un actor de amenazas de un estado nacional chino llamado Flax Typhoon (tambi\u00e9n conocido como Ethereal Panda o RedJuliett).<\/p>\n<p>La sofisticada botnet, denominada <strong>Tren Raptor<\/strong> Se cree que el malware, creado por Black Lotus Labs de Lumen, ha estado operativo al menos desde mayo de 2020, alcanzando un pico de 60.000 dispositivos activamente comprometidos en junio de 2023.<\/p>\n<p>&#8220;Desde entonces, se han incorporado m\u00e1s de 200.000 enrutadores SOHO, dispositivos NVR\/DVR, servidores de almacenamiento conectados a la red (NAS) y c\u00e1maras IP; todos ellos a la botnet Raptor Train, lo que la convierte en una de las botnets de IoT patrocinadas por el estado chino m\u00e1s grandes descubiertas hasta la fecha&#8221;, dijo la empresa de ciberseguridad. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lumen.com\/derailing-the-raptor-train\" target=\"_blank\">dicho<\/a> en un informe de 81 p\u00e1ginas compartido con The Hacker News.<\/p>\n<p>Se estima que la infraestructura que alimenta la botnet ha atrapado a cientos de miles de dispositivos desde su formaci\u00f3n, y la red est\u00e1 impulsada por una arquitectura de tres niveles que consta de lo siguiente:<\/p>\n<ul>\n<li>Nivel 1: dispositivos SOHO\/IoT comprometidos<\/li>\n<li>Nivel 2: servidores de explotaci\u00f3n, servidores de carga \u00fatil y servidores de comando y control (C2)<\/li>\n<li>Nivel 3: Nodos de gesti\u00f3n centralizados y una interfaz de aplicaci\u00f3n Electron multiplataforma denominada Sparrow (tambi\u00e9n conocida como herramienta de control integral de nodos o NCCT)<\/li>\n<\/ul>\n<p>La forma en que funciona es que las tareas de los bots se inician desde los nodos de administraci\u00f3n de nivel 3 &#8220;Sparrow&#8221;, que luego se enrutan a trav\u00e9s de los servidores C2 de nivel 2 apropiados y posteriormente se env\u00edan a los propios bots en el nivel 1, que constituye una gran parte de la botnet.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-executive\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726470741_359_Los-cibercriminales-aprovechan-los-encabezados-HTTP-para-robar-credenciales-mediante.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunos de los dispositivos atacados incluyen enrutadores, c\u00e1maras IP, DVR y NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel.<\/p>\n<p>La mayor\u00eda de los nodos de nivel 1 se han geolocalizado en EE. UU., Taiw\u00e1n, Vietnam, Brasil, Hong Kong y Turqu\u00eda. Cada uno de estos nodos tiene una vida \u00fatil promedio de 17,44 d\u00edas, lo que indica la capacidad del actor de amenazas para reinfectar los dispositivos a voluntad.<\/p>\n<p>&#8220;En la mayor\u00eda de los casos, los operadores no incorporaron un mecanismo de persistencia que sobreviva a un reinicio&#8221;, se\u00f1al\u00f3 Lumen.<\/p>\n<p>&#8220;La confianza en la reexplotabilidad proviene de la combinaci\u00f3n de una amplia gama de exploits disponibles para una amplia gama de dispositivos SOHO e IoT vulnerables y una enorme cantidad de dispositivos vulnerables en Internet, lo que le otorga a Raptor Train una especie de persistencia &#8216;inherente'&#8221;.<\/p>\n<p>Los nodos est\u00e1n infectados por un implante en memoria identificado como Nosedive, una variante personalizada de la botnet Mirai, a trav\u00e9s de servidores de carga \u00fatil de nivel 2 configurados expl\u00edcitamente para este prop\u00f3sito. El binario ELF incluye capacidades para ejecutar comandos, cargar y descargar archivos y lanzar ataques DDoS.<\/p>\n<p>Por otro lado, los nodos de nivel 2 se rotan aproximadamente cada 75 d\u00edas y se encuentran principalmente en Estados Unidos, Singapur, el Reino Unido, Jap\u00f3n y Corea del Sur. La cantidad de nodos C2 ha aumentado de aproximadamente 1 a 5 entre 2020 y 2022 a no menos de 60 entre junio y agosto de 2024.<\/p>\n<p>Estos nodos son flexibles ya que tambi\u00e9n act\u00faan como servidores de explotaci\u00f3n para incorporar nuevos dispositivos a la botnet, servidores de carga \u00fatil e incluso facilitar el reconocimiento de entidades espec\u00edficas.<\/p>\n<p>Al menos cuatro campa\u00f1as diferentes se han vinculado a la botnet Raptor Train en constante evoluci\u00f3n desde mediados de 2020, cada una de las cuales se distingue por los dominios ra\u00edz utilizados y los dispositivos atacados.<\/p>\n<ul>\n<li>Crossbill (de mayo de 2020 a abril de 2022): uso del dominio ra\u00edz C2 k3121.com y subdominios asociados<\/li>\n<li>Finch (de julio de 2022 a junio de 2023): uso del dominio ra\u00edz C2 b2047.com y subdominios C2 asociados<\/li>\n<li>Canary (desde mayo de 2023 hasta agosto de 2023): uso del dominio ra\u00edz C2 b2047.com y subdominios C2 asociados, mientras se conf\u00eda en cuentagotas de m\u00faltiples etapas<\/li>\n<li>Oriole (de junio de 2023 a septiembre de 2024): uso del dominio ra\u00edz C2 w8510.com y subdominios C2 asociados<\/li>\n<\/ul>\n<p>La campa\u00f1a Canary, que tuvo como principales objetivos los m\u00f3dems ActionTec PK5000, las c\u00e1maras IP Hikvision, los NVR Shenzhen TVT y los enrutadores ASUS, se destaca por emplear una cadena de infecci\u00f3n de m\u00faltiples capas propia para descargar un script bash de primera etapa, que se conecta a un servidor de carga \u00fatil de nivel 2 para recuperar Nosedive y un script bash de segunda etapa.<\/p>\n<p>El nuevo script bash, a su vez, intenta descargar y ejecutar un script bash de tercera etapa desde el servidor de carga \u00fatil cada 60 minutos.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;De hecho, el dominio C2 w8510.com para [the Oriole] &#8220;La campa\u00f1a se volvi\u00f3 tan prominente entre los dispositivos IoT comprometidos que, el 3 de junio de 2024, se incluy\u00f3 en las clasificaciones de dominios de Cisco Umbrella&#8221;, afirm\u00f3 Lumen.<\/p>\n<p>&#8220;Al menos el 7 de agosto de 2024, tambi\u00e9n se incluy\u00f3 en el mill\u00f3n de dominios principales de Cloudflare Radar. Este es un logro preocupante porque los dominios que est\u00e1n en estas listas de popularidad a menudo eluden las herramientas de seguridad a trav\u00e9s de la inclusi\u00f3n de dominios en listas blancas, lo que les permite crecer y mantener el acceso y evitar a\u00fan m\u00e1s la detecci\u00f3n&#8221;.<\/p>\n<p>Hasta la fecha no se han detectado ataques DDoS que emanen de la botnet, aunque la evidencia muestra que ha sido utilizada como arma para atacar a entidades estadounidenses y taiwanesas en los sectores militar, gubernamental, de educaci\u00f3n superior, de telecomunicaciones, de base industrial de defensa (DIB) y de tecnolog\u00eda de la informaci\u00f3n (TI).<\/p>\n<p>Es m\u00e1s, los bots involucrados en Raptor Train probablemente hayan llevado a cabo posibles intentos de explotaci\u00f3n contra servidores Atlassian Confluence y dispositivos Ivanti Connect Secure (ICS) en las mismas verticales, lo que sugiere esfuerzos de escaneo generalizados.<\/p>\n<p>Los v\u00ednculos con Flax Typhoon (un equipo de piratas inform\u00e1ticos con antecedentes de atacar entidades en Taiw\u00e1n, el sudeste asi\u00e1tico, Am\u00e9rica del Norte y \u00c1frica) se derivan de superposiciones en la huella de victimolog\u00eda, el uso del idioma chino y otras similitudes t\u00e1cticas. <\/p>\n<p>&#8220;Este es un sistema de control robusto y de nivel empresarial que se utiliza para administrar m\u00e1s de 60 servidores C2 y sus nodos infectados en un momento dado&#8221;, afirm\u00f3 Lumen.<\/p>\n<p>&#8220;Este servicio permite un conjunto completo de actividades, incluida la explotaci\u00f3n escalable de bots, la gesti\u00f3n de vulnerabilidades y exploits, la gesti\u00f3n remota de la infraestructura C2, la carga y descarga de archivos, la ejecuci\u00f3n remota de comandos y la capacidad de adaptar los ataques de denegaci\u00f3n de servicio distribuido (DDoS) basados \u200b\u200ben IoT a escala&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/new-raptor-train-iot-botnet-compromises.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto una red de bots nunca antes vista que comprende un ej\u00e9rcito de<\/p>\n","protected":false},"author":1,"featured_media":1366497,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,5895,4664,12630,5718,10888,4667,239182,16,340,4654,239508,4658,4659,4653,480,254041,254042,246983,4665,246984,339,246982,239484],"class_list":["post-1366496","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-botnet","tag-como-hackear","tag-compromete","tag-dispositivos","tag-iot","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-mas","tag-mundo","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nuevo","tag-quottren","tag-raptorquot","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-todo","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1366496","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1366496"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1366496\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1366497"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1366496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1366496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1366496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}