Olvidó "cerrar la puerta": cómo una carpeta abierta arruinó la carrera de un hacker iraní
Un descuido común destapó por completo una compleja trama
Especialistas detectaron una infraestructura a gran escala de botnet, desplegada a partir de un directorio abierto por error en un servidor en Irán. La filtración permitió reconstruir casi toda la cadena de operación del operador: desde la configuración de la red de elusión de bloqueos hasta la creación de herramientas para ataques y el control de dispositivos infectados.
El incidente fue detectado por los analistas de Hunt.io durante el monitoreo de servidores públicos. Uno de los nodos con la dirección 185.221.239[.]162 contenía cientos de archivos, incluidas configuraciones, código fuente e historial de comandos. El servidor pertenecía al proveedor iraní Dade Samane Fanava Company y se usaba como punto de entrada a una infraestructura más amplia.
El análisis del certificado TLS ayudó a revelar una red de 15 nodos. Siete servidores estaban alojados en el proveedor de hosting Hetzner en Finlandia, otros siete en operadores de telecomunicaciones iraníes. Un nodo adicional se encontraba en Londres, en OVH. Todos los elementos compartían un esquema único: el tráfico entrante pasaba por Irán y los puntos de salida estaban en el extranjero.
Los archivos de configuración mostraron que la red se usaba no solo para ataques. El servidor actuaba como un túnel basado en Paqet, una herramienta para eludir el filtrado de Internet. El tráfico se enviaba a través de KCP con cifrado, lo que permitía ocultar la actividad y evitar la inspección profunda de paquetes.
El historial de comandos bash reveló tres etapas en el trabajo del operador. Primero desplegaron la infraestructura de túneles y depuraron los servicios proxy. Luego comenzaron experimentos con herramientas de DDoS. En el servidor se compilaban programas en C para ataques de tipo SYN y UDP, y también se ejecutaba MHDDOS contra objetivos concretos, incluido el servidor de juego FiveM.
La etapa final mostró la transición a la creación del botnet. El script ohhhh.py usaba una lista de credenciales para conexiones masivas por SSH. Se abrían cientos de sesiones simultáneamente, tras lo cual en las máquinas remotas se compilaba un cliente malicioso y se ejecutaba en segundo plano. El ejecutable se disfrazaba como "hex" para reducir la probabilidad de detección.
El script adicional yse.py permitía al operador detener rápidamente todos los procesos en los nodos infectados. El cliente binario principal contenía funciones de comunicación con el servidor de control, transmisión de información sobre el sistema y comandos para iniciar ataques. En el código se encontró un mecanismo de reconexión automática, lo que hace que las máquinas infectadas sean resistentes a fallos en la infraestructura.
Los indicios indirectos — el uso de proveedores iraníes, comentarios en persa (farsi) y la arquitectura de elusión de bloqueos — apuntan al origen del operador. No obstante, la naturaleza de los objetivos y el nivel de las herramientas no se parecen a la actividad vinculada a estructuras estatales. Más bien se trata de una actividad privada o comercial.
El incidente muestra de forma clara cómo un error en la configuración de un servidor puede exponer todo el esquema operativo. En este caso, el directorio abierto permitió seguir el ciclo completo: desde la construcción de la red hasta los ataques y el control del botnet.