Dice: “Soy un VPN”, “Soy Roblox”, “Soy Discord”. Pero convierte tu router en un arma para ataques DDoS

Investigadores han alertado sobre una nueva campaña maliciosa en la que atacantes están explotando activamente vulnerabilidades en videograbadores digitales TBK y routers Four-Faith. El objetivo: incorporar estos dispositivos vulnerables a una nueva red botnet llamada RondoDox.

El vector de ataque se basa en dos problemas conocidos: CVE-2024-3721 —una inyección de comandos en los modelos DVR-4104 y DVR-4216 de TBK— y CVE-2024-12856 —la ejecución remota de comandos en los routers Four-Faith de las series F3x24 y F3x36. Estos dispositivos son ampliamente utilizados en el comercio minorista, la logística y pequeñas empresas, suelen no recibir actualizaciones y permanecen años sin supervisión. En muchos casos, son accesibles desde internet, ejecutan firmware obsoleto y tienen puertos abiertos, lo que los convierte en blancos ideales.

Según Fortinet, estas vulnerabilidades ya están siendo utilizadas activamente para distribuir variantes de botnets de la familia Mirai. Sin embargo, RondoDox representa una amenaza más avanzada, con arquitectura y funcionalidades no convencionales.

El malware fue detectado por primera vez en septiembre de 2024, cuando especialistas de FortiGuard Labs identificaron archivos ejecutables Linux (ELF) con componentes de RondoDox. El programa ocultaba su presencia simulando tráfico de servicios en línea populares, dificultando su detección.

Sin embargo, el verdadero peligro no es solo la infección, sino la forma en que los dispositivos comprometidos son utilizados posteriormente. A diferencia de los botnets clásicos, aquí los nodos infectados se convierten en servidores proxy que participan en la transmisión de tráfico de control, esquemas de fraude multinivel y en la intensificación de ataques DDoS dirigidos a desestabilizar sistemas críticos.

Inicialmente, el malware estaba dirigido a sistemas Linux con arquitecturas ARM y MIPS. Más adelante se desarrolló un cargador adaptable que cubre un espectro más amplio de plataformas, incluidas Intel 80386, MC68000, PowerPC, SuperH, ARCompact, x86-64 y AArch64.

Al ejecutarse, el script desactiva señales del sistema como SIGINT, SIGQUIT y SIGTERM, luego busca directorios con permisos de escritura —/dev, /dev/shm, /mnt, /var/tmp y otros. Una vez encontrado un camino adecuado, descarga el módulo principal, lo ejecuta y elimina el historial de comandos para borrar huellas.

El malware se instala de forma persistente en el sistema, garantizando su arranque automático tras reinicios. Para camuflarse, finaliza procesos de herramientas como wget, curl, Wireshark, gdb, y elimina malware competidor como criptomineros, puertas traseras y otros.

También se ha observado la sustitución de archivos ejecutables del sistema: el malware genera nombres aleatorios y coloca versiones modificadas de programas en directorios como /usr/sbin, /usr/bin y otros. Ejemplos: iptables → jsuJpf, passwd → ahwdze, reboot → gaajct.

Una vez instalado, RondoDox se conecta al servidor C2 en la dirección 83.150.218[.]93 y recibe instrucciones para ejecutar ataques DDoS mediante protocolos HTTP, UDP y TCP.

Para evadir filtros, el botnet imita actividad de red de plataformas de juegos populares (Valve, Minecraft, GTA, Fortnite, Roblox, DayZ), mensajeros (Discord), protocolos VPN (OpenVPN, WireGuard, RakNet) y servicios en tiempo real (STUN, DTLS, RTC). Esto le permite camuflarse como tráfico legítimo y eludir la detección.

Como señala Vincent Lee de Fortinet, RondoDox utiliza bibliotecas propias, técnicas anti-virtualización, cifrado XOR y una infraestructura de comando bien pensada, lo que lo hace especialmente resistente y peligroso.

Este caso demuestra claramente por qué es crucial mantener actualizados los firmwares de los dispositivos de red y realizar auditorías regulares de la infraestructura IoT. Las amenazas modernas exigen un enfoque integral de seguridad a todos los niveles: desde el hardware hasta la red.