Se ha descubierto que una variante de la botnet Mirai explota una falla de seguridad recientemente revelada que afecta a los enrutadores industriales Four-Faith desde principios de noviembre de 2024 con el objetivo de realizar ataques distribuidos de denegaci\u00f3n de servicio (DDoS).<\/p>\n
La botnet mantiene aproximadamente 15.000 direcciones IP activas diarias, y las infecciones se encuentran principalmente dispersas en China, Ir\u00e1n, Rusia, Turqu\u00eda y Estados Unidos.<\/p>\n
Se sabe que el malware, que explota un arsenal de m\u00e1s de 20 vulnerabilidades de seguridad conocidas y credenciales Telnet d\u00e9biles para el acceso inicial, ha estado activo desde febrero de 2024. La botnet ha sido denominada “gayfemboy” en referencia al t\u00e9rmino ofensivo presente en el c\u00f3digo fuente.<\/p>\n
Laboratorio QiAnXin dicho<\/a> observ\u00f3 que el malware aprovechaba una vulnerabilidad de d\u00eda cero en enrutadores industriales fabricados por Four-Faith, con sede en China, para entregar los artefactos el 9 de noviembre de 2024.<\/p>\n La vulnerabilidad en cuesti\u00f3n es CVE-2024-12856 (puntuaci\u00f3n CVSS: 7,2), que se refiere a un error de inyecci\u00f3n de comandos del sistema operativo (SO) que afecta a los modelos de enrutador F3x24 y F3x36 al aprovechar las credenciales predeterminadas sin cambios.<\/p>\n A fines del mes pasado, VulnCheck le dijo a The Hacker News que la vulnerabilidad hab\u00eda sido explotada en la naturaleza para colocar shells inversos y una carga \u00fatil similar a Mirai en dispositivos comprometidos.<\/p>\n Algunas de las otras fallas de seguridad explotadas por la botnet para ampliar su alcance y escala incluyen CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017. -5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 y CVE-2024-8957.<\/p>\n Una vez lanzado, el malware intenta ocultar procesos maliciosos e implementa un formato de comando basado en Mirai para buscar dispositivos vulnerables, actualizarse y lanzar ataques DDoS contra objetivos de inter\u00e9s.<\/p>\n Los ataques DDoS que aprovechan la botnet se han dirigido a cientos de entidades diferentes a diario, y la actividad alcanz\u00f3 un nuevo pico en octubre y noviembre de 2024. Los ataques, si bien duran entre 10 y 30 segundos, generan un tr\u00e1fico de alrededor de 100 Gbps.<\/p>\n La divulgaci\u00f3n se produce semanas despu\u00e9s de que Juniper Networks advirtiera que los productos Session Smart Router (SSR) con contrase\u00f1as predeterminadas est\u00e1n siendo atacados por actores maliciosos para eliminar el malware botnet Mirai. Akamai tambi\u00e9n ha revelado infecciones de malware Mirai que utilizan como arma una falla de ejecuci\u00f3n remota de c\u00f3digo en los DVR DigiEver.<\/p>\n “DDoS se ha convertido en una de las formas m\u00e1s comunes y destructivas de ciberataques”, dijeron los investigadores de XLab. “Sus modos de ataque son diversos, las rutas de ataque est\u00e1n altamente ocultas y puede emplear estrategias y t\u00e9cnicas en continua evoluci\u00f3n para realizar ataques precisos contra diversas industrias y sistemas, lo que representa una amenaza significativa para empresas, organizaciones gubernamentales y usuarios individuales”.<\/p>\n El desarrollo tambi\u00e9n se produce cuando los actores de amenazas est\u00e1n aprovechando<\/a> Servidores PHP susceptibles y mal configurados (por ejemplo, CVE-2024-4577) para implementar un minero de criptomonedas llamado PacketCrypt.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/La-variante-de-botnet-Mirai-aprovecha-la-vulnerabilidad-del-enrutador.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n