Una operaci\u00f3n conjunta de la aplicaci\u00f3n de la ley realizada por las autoridades holandesas y estadounidenses ha desmantelado una red de representaci\u00f3n penal que funciona con miles de dispositivos infectados de Internet de las cosas (IoT) y al final de la vida (EOL), alist\u00e1ndolos en una botnet para proporcionar anonimato a los actores maliciosos.<\/p>\n
En conjunto con la incautaci\u00f3n del dominio, los nacionales rusos, Alexey Viktorovich Chertkov, 37, Kirill Vladimirovich Morozov, 41, Aleksandr Aleksandrovich Shishkin, 36 y Dmitriy Rubtsov, 38, un Kazajhstani nacional, han sido cargado<\/a> por el Departamento de Justicia de los Estados Unidos (DOJ) para operar, mantener y beneficiarse de los servicios de poder.<\/p>\n El Departamento de Justicia se\u00f1al\u00f3 que los usuarios pagaron una tarifa de suscripci\u00f3n mensual, que oscila entre $ 9.95 y $ 110 por mes, lo que obtuvo m\u00e1s de $ 46 millones vendiendo acceso a los enrutadores infectados. Se cree que el servicio ha estado disponible desde 2004.<\/p>\n <\/p>\n Tambi\u00e9n dijo que la Oficina Federal de Investigaci\u00f3n de los Estados Unidos (FBI) encontr\u00f3 enrutadores comerciales y residenciales en Oklahoma que hab\u00edan sido pirateados para instalar malware sin el conocimiento de los usuarios.<\/p>\n “Un promedio semanal de 1,000 bots \u00fanicos en contacto con la infraestructura de comando y control (C2), ubicada en Turqu\u00eda”, dijo Lumen Technologies Black Lotus Labs en un informe<\/a> compartido con las noticias del hacker. “M\u00e1s de la mitad de estas v\u00edctimas est\u00e1n en los Estados Unidos, con Canad\u00e1 y Ecuador que muestran los pr\u00f3ximos dos totales m\u00e1s altos”.<\/p>\n Los servicios en cuesti\u00f3n – anyproxy.net<\/a> y 5socks.net<\/a> – han sido interrumpidos como parte de un esfuerzo con el nombre de Operaci\u00f3n de la Operaci\u00f3n Moonlander. Lumen le dijo a The Hacker News que ambas plataformas apuntan a la “misma botnet, que se vende bajo dos servicios con nombre diferentes”.<\/p>\n Instant\u00e1neas capturado<\/a> En Internet Archive muestra que 5Socks.net anunci\u00f3 “m\u00e1s de 7,000 representantes en l\u00ednea diariamente” que abarcan varios pa\u00edses y estados de los Estados Unidos, lo que permite a los actores de amenaza llevar a cabo una amplia gama de actividad il\u00edcita a cambio de un pago de criptomonedas.<\/p>\n Lumen dijo que los dispositivos comprometidos estaban infectados con un malware llamado Themoon, que tambi\u00e9n ha alimentado otro servicio de poder criminal denominado sin rostro. La compa\u00f1\u00eda tambi\u00e9n ha dado el paso de interrumpir la infraestructura mediante el enrutamiento nulo de todo el tr\u00e1fico hacia y desde sus puntos de control conocidos.<\/p>\n “Los dos servicios fueron esencialmente el mismo grupo de proxies y C2, y adem\u00e1s de ese malware, estaban usando una variedad de haza\u00f1as que fueron \u00fatiles contra los dispositivos EOL”, dijo Lumen a The Hacker News. “Sin embargo, los servicios de poder en s\u00ed no est\u00e1n relacionados [to Faceless]”<\/p>\n Se sospecha que los operadores de la botnet se basaron en exploits conocidos para violar los dispositivos EOL y colocarlos en la botnet proxy. Se ha encontrado que los bots recientemente agregados se comunican en una infraestructura C2 con sede en Turqu\u00eda que consta de cinco servidores, de los cuales cuatro est\u00e1n dise\u00f1ados para comunicarse con las v\u00edctimas infectadas en el puerto 80.<\/p>\n “Uno de estos 5 servidores usa UDP en el puerto 1443 para recibir el tr\u00e1fico de v\u00edctimas, sin enviar ninguno a cambio”, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica. “Sospechamos que este servidor se utiliza para almacenar informaci\u00f3n de sus v\u00edctimas”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Breaking-Botnet-proxy-de-7000-dispositivos-utilizando-IoT-sistemas-EOL.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n