Según una investigación de Fortinet FortiGuard Labs y Palo Alto Networks Unit 42, los actores de amenazas están explotando fallas de seguridad en los DVR de TBK y en los enrutadores Wi-Fi TP-Link de fin de vida útil (EoL) para implementar variantes de botnet Mirai en dispositivos comprometidos.
Se descubrió que el ataque dirigido a dispositivos TBK DVR explotaba CVE-2024-3721 (puntuación CVSS: 6,3), una vulnerabilidad de inyección de comandos de gravedad media que afecta a los dispositivos de grabación de vídeo digital TBK DVR-4104 y DVR-4216, para ofrecer una variante de Mirai llamada Nexcorium.
«Los dispositivos IoT se están convirtiendo en objetivos principales de ataques cada vez a mayor escala debido a su uso generalizado, la falta de parches y, a menudo, configuraciones de seguridad débiles», afirmó el investigador de seguridad Vincent Lee. «Los actores de amenazas continúan explotando vulnerabilidades conocidas para obtener acceso inicial e implementar malware que puede persistir, propagarse y causar ataques distribuidos de denegación de servicio (DDoS)».
Esta no es la primera vez que se explota esta vulnerabilidad. Durante el año pasado, este problema de seguridad se aprovechó para introducir variantes de Mirai y una botnet relativamente nueva llamada RondoDox. En septiembre de 2025, CloudSEK también reveló detalles de una gran botnet de cargador como servicio que distribuía cargas útiles de RondoDox, Mirai y Morte a través de credenciales débiles y fallas obsoletas en enrutadores, dispositivos de IoT y aplicaciones empresariales.
La campaña de ataque descrita por Fortinet implica explotar CVE-2024-3721 para obtener y soltar un script de descarga y luego lanzar una carga útil de botnet basada en la arquitectura del sistema Linux. Una vez que se ejecute el malware, verá un mensaje que dice «nexuscorp ha tomado el control».
«Nexcorium tiene una arquitectura similar a la variante Mirai, que incluye una inicialización de tabla de configuración codificada con XOR, un módulo de vigilancia y un módulo de ataque DDoS», dijo el proveedor de seguridad.
El malware también incluye un exploit para CVE-2017-17215 dirigido a dispositivos Huawei HG532 en la red, con una lista codificada de nombres de usuario y contraseñas utilizados en ataques de fuerza bruta para abrir conexiones Telnet y apuntar a los hosts de las víctimas.
Después de un inicio de sesión exitoso en Telnet, obtiene un shell, establece la persistencia usando los servicios crontab y systemd, y espera comandos para conectarse a un servidor externo y lanzar un ataque DDoS a través de UDP, TCP y SMTP. Una vez que se establece la persistencia en el dispositivo, el malware elimina el binario descargado original para evitar el análisis.
«El malware Nexcorium exhibe características típicas de las modernas botnets centradas en IoT, combinando explotación de vulnerabilidades, soporte para múltiples arquitecturas y varias técnicas de persistencia para mantener el acceso a largo plazo a los sistemas infectados», dijo Fortinet. «El uso de exploits conocidos como CVE-2017-17215 y amplias capacidades de fuerza bruta resaltan su adaptabilidad y eficacia para ampliar su alcance».
Este desarrollo se produce después de que la Unidad 42 anunciara que había detectado exploraciones y sondas automatizadas activas que intentaban explotar CVE-2023-33538 (puntuación CVSS: 8,8), una vulnerabilidad de inyección de comandos que afecta a los enrutadores inalámbricos EoL TP-Link. Sin embargo, la brecha de seguridad utiliza un enfoque defectuoso que no tuvo éxito.
Vale la pena señalar que esta falla de seguridad se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en junio de 2025. Esta vulnerabilidad afecta a los siguientes modelos:
TL-WR940N v2 y v4 TL-WR740N v1 y v2 TL-WR841N v8 y v10
Los investigadores Asher Davila, Malav Vyas y Chris Navarrete dijeron: «Aunque los ataques reales que observamos eran defectuosos y podrían haber fallado, nuestro análisis confirma que la vulnerabilidad subyacente es real». «La explotación exitosa requiere autenticación en la interfaz web del enrutador».
En este caso, el ataque intenta implementar malware botnet similar a Mirai utilizando un código fuente que contiene numerosas referencias a la cadena «Condi». También tiene la capacidad de actuar como un servidor web que se actualiza con nuevas versiones y propaga la infección a otros dispositivos conectados.
Los dispositivos TP‑Link afectados ya no cuentan con soporte activo y recomendamos que los usuarios reemplacen sus dispositivos con modelos más nuevos y eviten usar credenciales predeterminadas.
«En el futuro previsible, el panorama de la seguridad seguirá estando determinado por el riesgo persistente de credenciales predeterminadas en los dispositivos de IoT», dijo la Unidad 42. «Estas credenciales pueden convertir una vulnerabilidad limitada y autenticada en un punto de entrada crítico para un atacante determinado».
Source link
