Los investigadores de seguridad cibern\u00e9tica han revelado que un actor de amenaza con nombre en c\u00f3digo ViciousTrap ha comprometido a casi 5.300 dispositivos \u00fanicos de borde de red en 84 pa\u00edses y los ha convertido en una red similar a un honeypot.<\/p>\n
Se ha observado que el actor de amenaza explota una falla cr\u00edtica de seguridad que afecta a Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 Routers (CVE-2023-20118) para acorralarlos en un conjunto de abonos en masa en masa. La mayor\u00eda de las infecciones se encuentran en Macao, con 850 dispositivos comprometidos.<\/p>\n
“La cadena de infecci\u00f3n implica la ejecuci\u00f3n de un script de shell, denominado Netghost, que redirige el tr\u00e1fico entrante de puertos espec\u00edficos del enrutador comprometido a una infraestructura similar a la honeypot bajo el control del atacante, lo que les permite interceptar flujos de redes”, sekoia “, Sekoia dicho<\/a> en un an\u00e1lisis publicado el jueves.<\/p>\n Vale la pena se\u00f1alar que la explotaci\u00f3n de CVE-2023-20118 fue atribuida previamente por la compa\u00f1\u00eda francesa de ciberseguridad a otra botnet denominada Polaredge.<\/p>\n Si bien no hay evidencia de que estos dos conjuntos de actividades est\u00e9n conectados, se cree que el actor de amenaza detr\u00e1s de ViciousTrap est\u00e1 configurando infraestructura de honeypot violando una amplia gama de equipos orientados a Internet, incluidos los enrutadores SOHO, SSL VPNS, DVRS y los controladores BMC de m\u00e1s que 50 marcas como Araknis Networks, ASUS, D-Link, Linksys y Qnap.<\/p>\n “Esta configuraci\u00f3n permitir\u00eda al actor observar intentos de explotaci\u00f3n en m\u00faltiples entornos y potencialmente recolectar exploits no p\u00fablicos o de d\u00eda cero, y reutilizar el acceso obtenido por otros actores de amenazas”, agreg\u00f3.<\/p>\n La cadena de ataque implica la arma de CVE-2023-20118 para descargar y ejecutar un script bash a trav\u00e9s de ftpget, que luego contacta a un servidor externo para obtener el binario WGET. En el siguiente paso, la falla de Cisco se explota por segunda vez, us\u00e1ndola para ejecutar un segundo script recuperado utilizando el WGet previamente descartado.<\/p>\n El script de shell de la segunda etapa, referenciado internamente como NetGhost, est\u00e1 configurado para redirigir el tr\u00e1fico de red del sistema comprometido a la infraestructura de terceros controlada por el atacante, facilitando as\u00ed los ataques adversarios en el medio (AITM). Tambi\u00e9n viene con capacidades para retirarse del host comprometido para minimizar el sendero forense.<\/p>\n Sekoia dijo que todos los intentos de explotaci\u00f3n se han originado a partir de una sola direcci\u00f3n IP (“101.99.91[.]151 “), con la actividad m\u00e1s temprana que se remonta a marzo de 2025. En un evento notable observado un mes despu\u00e9s, se dice que los actores de ViciousTrap reutilizaron un caparaz\u00f3n web indocumentado previamente empleado en ataques de Botnet Polaredge para sus propias operaciones.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/ViciousTrap-utiliza-fallas-de-Cisco-para-construir-honeypot-global-a.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n