D-Link, TP-Link y ZTE: viejos routers domésticos son secuestrados en masa para formar una botne
Hallan una vulnerabilidad crítica en modelos antiguos de routers D-Link que ya está siendo explotada.
Los routers que dejaron de recibir soporte hace tiempo se encontraron de repente en el centro de una nueva ola de ataques. Los atacantes comenzaron a explotar activamente una vulnerabilidad antigua para convertir sigilosamente dispositivos domésticos en parte de un botnet.
El problema en los routers D-Link DIR-823X recibió el identificador CVE-2025-29635 (puntuación CVSS: 8.8). La vulnerabilidad permite ejecutar comandos arbitrarios en el dispositivo mediante una petición POST especialmente formada. Basta enviar la petición a la dirección vulnerable y el router ejecutará los comandos del atacante.
El ataque fue detectado por la empresa Akamai en marzo de 2026. Aunque la vulnerabilidad se publicó hace más de un año, solo ahora se han registrado intentos reales de explotación en la red. La actividad fue detectada mediante una red global de honeypots que imitan dispositivos vulnerables.
El ataque es bastante simple. Los atacantes envían una petición que obliga al dispositivo a cambiar a directorios con permisos de escritura, luego descargan desde un servidor externo el script dlink.sh y lo ejecutan. Tras ejecutar el script, se instala en el dispositivo un malware basado en Mirai llamado tuxnokill. El programa es multiplataforma y por eso es compatible con una amplia gama de dispositivos.
La funcionalidad del malware es la habitual en Mirai. Los dispositivos infectados se usan para realizar potentes ataques de red: sobrecargan servidores con tráfico TCP y UDP, y también envían un gran número de peticiones HTTP.
Los atacantes no se detuvieron ahí. El mismo grupo, en paralelo, explota la vulnerabilidad CVE-2023-1389 en routers TP-Link y otra vulnerabilidad de ejecución remota de comandos en dispositivos ZTE ZXV10 H108L. En todos los casos el esquema es el mismo: comprometen el dispositivo, suben un archivo e instalan Mirai.
El problema se agrava porque los dispositivos vulnerables fueron oficialmente retirados del soporte en noviembre de 2024. El fabricante ya no publica actualizaciones de seguridad, incluso cuando surgen ataques reales. Es probable que las últimas versiones del firmware sigan siendo vulnerables.
Los propietarios de estos routers deberían considerar reemplazar el equipo. Mientras el dispositivo permanezca en la red, puede ser utilizado en ataques sin el conocimiento del propietario. Las medidas de protección mínimas: desactivar la gestión remota, cambiar la contraseña administrativa por defecto y supervisar la configuración del dispositivo.