La campaña de malware que distribuye la botnet RondoDox ha ampliado su alcance, explotando más de 50 vulnerabilidades en más de 30 proveedores.
Trend Micro dijo que la campaña se asemeja a un enfoque de «escopeta de explotación», dirigida a una amplia gama de infraestructura expuesta a Internet, incluidos enrutadores, grabadoras de video digital (DVR), grabadoras de video en red (NVR), sistemas CCTV, servidores web y varios otros dispositivos de red.
La empresa de ciberseguridad anunció que detectó un intento de intrusión RondoDox el 15 de junio de 2025. Al hacerlo, los atacantes explotaron CVE-2023-1389, una falla de seguridad en los enrutadores TP-Link Archer que ha sido explotada activamente repetidamente desde que se reveló por primera vez a fines de 2022.
RondoDox fue documentado por primera vez por Fortinet FortiGuard Labs en julio de 2025, detallando un ataque que involucró grabadoras de video digital (DVR) de TBK y enrutadores Four-Faith en una botnet y tenía como objetivo realizar ataques distribuidos de denegación de servicio (DDoS) contra objetivos específicos utilizando los protocolos HTTP, UDP y TCP.
«Más recientemente, RondoDox amplió su distribución mediante el uso de una infraestructura de ‘cargador como servicio’ que empaqueta conjuntamente las cargas útiles de RondoDox y Mirai/Morte, lo que hace que la detección y la corrección sean más urgentes», afirmó Trend Micro.
El exploit ampliado de RondoDox incluye casi 50 fallos de seguridad, 18 de los cuales no tienen un identificador CVE asignado. Las 56 vulnerabilidades abarcan una variedad de proveedores, incluidos D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nextxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH y más. Zyxel, Hytec Inter, Belkin, Billion, Cisco.
«La última campaña de botnet RondoDox representa una importante evolución en la explotación automatizada de redes», añadió la empresa. «Esta es una señal clara de que las campañas están evolucionando más allá del oportunismo de un solo dispositivo hacia operaciones de cargadores de múltiples vectores».
A fines del mes pasado, CloudSEK reveló detalles de una botnet de cargador como servicio a gran escala que estaba armada con credenciales débiles, entradas no desinfectadas y CVE obsoletos para distribuir cargas útiles de RondoDox, Mirai y Morte a través de enrutadores SOHO, dispositivos de Internet de las cosas (IoT) y aplicaciones empresariales.
El desarrollo se produce después de que el periodista de seguridad Brian Krebs señalara que la botnet DDoS conocida como AISURU «obtiene la mayor parte de su poder de ataque» de dispositivos IoT comprometidos alojados en proveedores de Internet estadounidenses como AT&T, Comcast y Verizon. Se dice que uno de los operadores de botnets, Forky, tiene su sede en São Paulo, Brasil, y también participa en un servicio de mitigación de DDoS llamado Botshield.
En los últimos meses, AISURU se ha convertido en una de las botnets más grandes y destructivas, responsable de algunos de los ataques DDoS sin precedentes jamás vistos. Construida sobre la base de Mirai, la botnet controla aproximadamente 300.000 hosts comprometidos en todo el mundo.
Según GreyNoise, los hallazgos también siguen al descubrimiento de una operación de botnet coordinada que involucra más de 100.000 direcciones IP únicas de más de 100 países que apuntaban a servicios de protocolo de escritorio remoto (RDP) en los Estados Unidos.
Se dice que la actividad comenzó el 8 de octubre de 2025, y la mayor parte del tráfico procede de países como Brasil, Argentina, Irán, China, México, Rusia, Sudáfrica y Ecuador.
«En esta campaña se utilizaron dos vectores de ataque específicos: ataques de tiempo de acceso web RD y enumeración de inicio de sesión del cliente web RDP, y la mayoría de las IP participantes comparten una huella digital TCP similar, lo que indica un control centralizado», dijo la firma de inteligencia de amenazas.
Source link
