Los actores de amenazas est\u00e1n explotando una vulnerabilidad de d\u00eda cero no especificada en los enrutadores cnPilot de Cambium Networks para implementar una variante de la botnet AISURU llamada AIRASHI para llevar a cabo ataques distribuidos de denegaci\u00f3n de servicio (DDoS).<\/p>\n
Seg\u00fan QiAnXin XLab, los ataques han apalancado<\/a> la falla de seguridad desde junio de 2024. Se han ocultado detalles adicionales sobre las deficiencias para evitar mayores abusos.<\/p>\n Algunas de las otras fallas utilizadas por la botnet de denegaci\u00f3n de servicio distribuido (DDoS) incluyen CVE-2013-3307<\/a>, CVE-2016-20016<\/a>, CVE-2017-5259<\/a>, CVE-2018-14558<\/a>, CVE-2020-25499<\/a>, CVE-2020-8515<\/a>, CVE-2022-3573<\/a>, CVE-2022-40005<\/a>, CVE-2022-44149<\/a>, CVE-2023-28771<\/a>as\u00ed como aquellos que afectan a las c\u00e1maras IP AVTECH, DVR LILIN y dispositivos TVT de Shenzhen.<\/p>\n “El operador de AIRASHI ha estado publicando los resultados de sus pruebas de capacidad DDoS en Telegram”, dijo XLab. “A partir de datos hist\u00f3ricos, se puede observar que la capacidad de ataque de la botnet AIRASHI se mantiene estable en torno a 1-3 Tbps”.<\/p>\n La mayor\u00eda de los dispositivos comprometidos se encuentran en Brasil, Rusia, Vietnam e Indonesia, siendo China, Estados Unidos, Polonia y Rusia los principales objetivos del enjambre malicioso.<\/p>\n AIRASHI es una variante del AISURU<\/a> (tambi\u00e9n conocido como NAKOTNE) que fue previamente se\u00f1alado por la compa\u00f1\u00eda de ciberseguridad en agosto de 2024 en relaci\u00f3n con un ataque DDoS dirigido a Steam aproximadamente al mismo tiempo que coincide con el lanzamiento del juego. Mito negro: Wukong<\/em>.<\/p>\n Tambi\u00e9n se han encontrado variaciones selectas de AIRASHI, una botnet que se actualiza con frecuencia, que incorporan funcionalidad de proxyware, lo que indica que los actores de amenazas tienen la intenci\u00f3n de expandir sus servicios m\u00e1s all\u00e1 de facilitar ataques DDoS.<\/p>\n Se dice que AISURU suspendi\u00f3 temporalmente sus actividades de ataque en septiembre de 2024, solo para reaparecer un mes despu\u00e9s con funciones actualizadas (denominada kitty) y actualizado nuevamente por segunda vez a fines de noviembre (tambi\u00e9n conocido como AIRASHI).<\/p>\n “La muestra del gatito comenz\u00f3 a difundirse a principios de octubre de 2024”, se\u00f1al\u00f3 XLab. “En comparaci\u00f3n con muestras anteriores de AISURU, ha simplificado el protocolo de red. A finales de octubre, comenz\u00f3 a utilizar proxies SOCKS5 para comunicarse con el servidor C2”.<\/p>\n AIRASHI, por otro lado, viene en al menos dos sabores diferentes:<\/p>\n La botnet, adem\u00e1s de modificar continuamente sus m\u00e9todos para obtener los detalles del servidor C2 a trav\u00e9s de consultas DNS, se basa en un protocolo de red completamente nuevo que involucra algoritmos HMAC-SHA256 y CHACHA20 para la comunicaci\u00f3n. Adem\u00e1s, AIRASHI-DDoS admite 13 tipos de mensajes, mientras que AIRASHI-Proxy solo admite 5 tipos de mensajes.<\/p>\n Los hallazgos muestran que los malos actores contin\u00faan explotando las vulnerabilidades en los dispositivos IoT como vector de acceso inicial y para construir botnets que las utilizan para darle peso adicional a poderosos ataques DDoS.<\/p>\n El desarrollo se produce cuando QiAnXin arroj\u00f3 luz sobre una puerta trasera multiplataforma llamada alphatronBot que se ha dirigido al gobierno y las empresas chinas para incluir sistemas Windows y Linux infectados en una botnet. Activo desde principios de 2023, el malware adopt\u00f3 una aplicaci\u00f3n leg\u00edtima de chat peer-to-peer (P2P) de c\u00f3digo abierto llamada Chat entre pares<\/a> para hablar con otros nodos infectados.<\/p>\n La naturaleza descentralizada del protocolo P2P significa que un atacante puede emitir comandos a trav\u00e9s de cualquiera de los nodos comprometidos sin tener que enrutarlos a trav\u00e9s de un \u00fanico servidor C2, lo que hace que la botnet sea mucho m\u00e1s resistente a los ataques.<\/p>\n “Las m\u00e1s de 700 redes P2P integradas en la puerta trasera constan de componentes de dispositivos de red infectados de 80 pa\u00edses y territorios”, dijo la empresa. dicho<\/a>. “Los nodos involucran enrutadores MikroTik, c\u00e1maras Hikvision, servidores VPS, enrutadores DLink, dispositivos CPE, etc.”<\/p>\n El a\u00f1o pasado, XLab tambi\u00e9n detall\u00f3 un marco de entrega de carga \u00fatil sofisticado y sigiloso con nombre en c\u00f3digo DarkCracks que explota sitios GLPI y WordPress comprometidos para funcionar como descargadores y servidores C2.<\/p>\n “Sus objetivos principales son recopilar informaci\u00f3n confidencial de los dispositivos infectados, mantener el acceso a largo plazo y utilizar los dispositivos comprometidos, estables y de alto rendimiento como nodos de retransmisi\u00f3n para controlar otros dispositivos o entregar cargas \u00fatiles maliciosas, ocultando efectivamente la huella del atacante”, dicho<\/a>.<\/p>\n “Se descubri\u00f3 que los sistemas comprometidos pertenec\u00edan a infraestructura cr\u00edtica en diferentes pa\u00edses, incluidos sitios web de escuelas, sistemas de transporte p\u00fablico y sistemas de visitantes de prisiones”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-piratas-informaticos-aprovechan-el-dia-cero-en-los-enrutadores.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n