Todos pensaron que era un fallo de AWS, pero en realidad fue un ensayo de un ciberataque contra 28 países que involucró a tu router.

Durante una interrupción masiva de AWS en octubre, especialistas de Fortinet detectaron una nueva botnet ShadowV2, basada en el código malicioso Mirai y dirigida a dispositivos IoT en todo el mundo. Según FortiGuard Labs, la campaña parecía una «prueba» antes de posibles ataques mayores, pero incluso ese episodio de un día fue suficiente para mostrar cuán vulnerables son las cosas conectadas a Internet en distintos sectores y países.

ShadowV2 infecta dispositivos vulnerables y los convierte en «zombies» — una botnet controlada por el operador, que puede utilizarse para ataques a gran escala, principalmente para ataques DDoS de inundación. Durante la interrupción de AWS en octubre, el malware estuvo activo solo durante aproximadamente un día, pero en ese tiempo se propagó aprovechando una serie de vulnerabilidades en equipos de distintos fabricantes. Entre ellas Fortinet enumera DD-WRT (CVE-2009-2765), D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915), DigiEver (CVE-2023-52163), TBK (CVE-2024-3721) y TP-Link (CVE-2024-53375).

La magnitud del incidente sigue siendo una incógnita: Fortinet no revela todavía cuántos dispositivos logró someter ShadowV2 y promete compartir los detalles más adelante. Se sabe que antes, en septiembre, este botnet en la nube ya se había utilizado contra AWS EC2: entonces estaba dirigido a instancias en la nube. En octubre, ShadowV2 cambió a IoT y atacó varios sectores a la vez: empresas tecnológicas, comercio minorista y hotelería, manufactura, MSSP, organismos estatales, operadores de telecomunicaciones y organizaciones educativas. El golpe afectó a 28 países, desde Estados Unidos, Canadá y México hasta Rusia, Kazajstán, China, Japón, países de Europa, Oriente Medio, África y Australia.

Técnicamente, el ataque fue bastante típico de las familias similares a Mirai, pero con varias particularidades. Los atacantes explotaron fallos conocidos en los firmwares para cargar en los dispositivos un script cargador llamado binary.sh. Este, a su vez, descargaba los binarios principales de ShadowV2 (archivos con el prefijo "shadow") desde el servidor 81[.]88[.]18[.]108. Fortinet señala similitudes con la variante LZRD: el malware inicializa una configuración codificada con XOR, se conecta al servidor de control y espera comandos, incluidos los para iniciar ataques DDoS.

Al iniciarse, ShadowV2 muestra la cadena "ShadowV2 Build v1.0.0 IoT version". Fortinet indicó que, por ese marcador, podría tratarse de la primera versión de la rama desarrollada específicamente para dispositivos IoT. Es decir, la campaña observada podría ser solo una prueba de la infraestructura antes de operaciones más agresivas y prolongadas.

Por ahora se conoce únicamente la actividad de ShadowV2 durante la interrupción de AWS en octubre, pero el incidente recordó a la industria un problema antiguo: miles de millones de dispositivos con firmware desactualizado y puertos abiertos siguen siendo una base ideal para las botnets. Fortinet publicó una lista de indicadores de compromiso y recomienda a los administradores actualizar los firmwares, cerrar servicios innecesarios y vigilar de cerca el tráfico anómalo y «spam» en la red. Según los especialistas, el caso de ShadowV2 volvió a mostrar que el ecosistema IoT sigue siendo el eslabón débil en la ciberseguridad global.

Casi de inmediato después de la «prueba» de ShadowV2 en la red, Microsoft informó de otro gran ataque, esta vez contra Azure. Según los datos de la compañía, el 24 de octubre su infraestructura resistió el ataque DDoS en la nube más grande de la historia, con una potencia de 15,72 Tbit/s, lanzado por la botnet Aisuru. Los mecanismos de defensa de Azure pudieron absorber una avalancha de casi 3,64 mil millones de paquetes por segundo y, según Microsoft, los clientes no experimentaron interrupciones. En ese contexto, la aparición de una nueva botnet similar a Mirai, aunque en formato de breve «ensayo», supone una advertencia adicional: la próxima vez el golpe podría ser más fuerte y no alcanzaría a mitigarse a tiempo.