Un router doméstico resulta inesperadamente más peligroso que un servidor empresaria
Este engaño está activo ahora mismo en millones de hogares de todo el mundo.
Investigadores de CloudSEK informaron sobre una campaña a gran escala que utiliza un botnet del tipo Loader-as-a-Service, que en los últimos seis meses convirtió en granjas para minería y ataques similares a Mirai a routers domésticos y dispositivos IoT. El análisis de los registros filtrados de los servidores de comando permitió rastrear la cadena completa de ataques: desde el acceso a paneles de administración hasta la instalación de binarios multiarquitectura y el posterior uso de los dispositivos comprometidos.
Los atacantes emplean una combinación de métodos: la inserción de parámetros POST sin sanear (en los campos ntp, syslog, hostname), la fuerza bruta contra contraseñas por defecto y la explotación de vulnerabilidades en sistemas corporativos y CMS. Entre los objetivos estuvieron Oracle WebLogic, WordPress y vBulletin, para los cuales se aprovecharon fallos conocidos, incluyendo CVE-2019-17574, CVE-2019-16759 y CVE-2012-1823. En el segmento corporativo se registraron intentos de explotación de deserialización en WebLogic, inyecciones OGNL en Struts2 y exploits basados en JNDI.
Según CloudSEK, en julio y agosto de 2025 la intensidad de los ataques aumentó un 230%. En los dispositivos infectados se cargaban ejecutables multiarquitectura de la familia 'Morte' y mineros JSON-RPC, además de bots con funcionalidad tipo Mirai. Posteriormente sus recursos se utilizaron para campañas DDoS, minería oculta y reventa de accesos.
La exposición de los registros de los paneles de comando mostró un enfoque sistemático por parte de los operadores. Los bloques [ReplyPageLogin] registraban intentos de adivinación de credenciales, [ConfigSystemCommand] y [SystemCommand] contenían comandos para descargar droppers mediante wget, busybox y cadenas TFTP/FTP. Las etiquetas [ReplyErrorPage] y [ReplySuccessPage] ayudaban a rastrear ejecución correcta o errores, y [ReplyDeviceInfo] recopilaba información sobre el firmware, direcciones MAC y servicios disponibles. Esto permitía seleccionar el conjunto de carga útil más adecuado para cada dispositivo.
La investigación mostró que el foco principal del ataque estaba en routers SOHO con interfaces vulnerables como wlwps.htm y wan_dyna.html, así como en sistemas Linux embebidos, donde se cargaban binarios como morte.x86 y morte.x86_64. Un riesgo adicional proviene del uso de los protocolos HTTP, FTP y TFTP para la entrega de la carga útil, lo que hace al botnet resistente y flexible.
El impacto de la campaña se considera multifacético. Para las empresas supone riesgo de fuga de datos, movimiento lateral en la red y propagación de amenazas secundarias, incluido el ransomware. En routers corporativos se detectaron amenazas de saturación de enlaces, manipulación del tiempo a través de NTP y alteraciones de DNS.
Pequeñas empresas y proveedores se enfrentan a que su infraestructura se convierta en plataforma de lanzamiento para ataques contra objetivos mayores. Como resultado, las organizaciones registran empeoramiento del rendimiento de las redes, aumento de la carga de trabajo de los equipos de respuesta y la necesidad de monitorizar continuamente nuevos vectores de ataque.
CloudSEK recomienda implementar una protección en múltiples capas: bloquear el tráfico saliente HTTP, HTTPS, FTP y TFTP para segmentos IoT, aislar dispositivos con indicios de manipulación de parámetros POST, actualizar firmware y contraseñas y desactivar la administración remota.
Para SOC y SIEM se aconseja configurar reglas de detección de solicitudes sospechosas, incluyendo el uso de wget, curl o llamadas que invoquen "|sh", así como monitorizar conexiones JSON-RPC anómalas. Al responder, es necesario aislar los dispositivos infectados, recopilar artefactos como registros y el contenido de /tmp, y cuando no sea posible actualizar, reflashear completamente o reemplazar el equipo.
La empresa prevé un desarrollo continuo de esta infraestructura con la ampliación del catálogo de dispositivos atacados y el aumento de la complejidad de los módulos maliciosos. Según su evaluación, solo un control sistemático y una respuesta rápida pueden reducir los riesgos de este nuevo modelo de botnet como servicio.