El ecosistema de Internet de las Cosas (IoT) vuelve a situarse en el centro de grandes campañas maliciosas: nuevas variantes de botnet Mirai, como Nexcorium y Condi, están aprovechando vulnerabilidades en grabadores digitales de vídeo TBK DVR y en routers TP-Link obsoletos, según análisis recientes de Fortinet FortiGuard Labs, Palo Alto Networks Unit 42 y CloudSEK.
CVE-2024-3721 en TBK DVR: puerta de entrada al botnet Nexcorium
Los investigadores de Fortinet han identificado ataques activos contra la vulnerabilidad CVE-2024-3721 (puntuación CVSS 6,3) en los modelos TBK DVR‑4104 y DVR‑4216. Se trata de una vulnerabilidad de inyección de comandos típica en dispositivos embebidos, que permite ejecutar código remoto en el sistema operativo Linux del dispositivo sin interacción del usuario.
En la práctica, el atacante envía una petición manipulada al DVR, que descarga un script de tipo loader. Este script detecta la arquitectura de la CPU (MIPS, ARM, etc.) y descarga el binario malicioso adecuado. Una vez comprometido el dispositivo, el malware muestra el mensaje «nexuscorp has taken control», indicando que el equipo ha pasado a formar parte del botnet Nexcorium.
Nexcorium comparte rasgos estructurales con el Mirai original: utiliza una configuración codificada con XOR, integra un módulo de watchdog para asegurarse de que el proceso malicioso permanezca activo y dispone de un arsenal de ataques DDoS (denegación de servicio distribuida) sobre UDP, TCP e incluso SMTP. Estas capacidades refuerzan su utilidad para campañas de saturación de servicios en línea, algo que ya demostró Mirai en 2016 con ataques masivos contra proveedores DNS y grandes plataformas web.
Propagación interna: routers Huawei HG532 y fuerza bruta vía Telnet
Un aspecto relevante de Nexcorium es la inclusión de un exploit integrado para la antigua vulnerabilidad CVE-2017-17215, que afecta a los routers domésticos Huawei HG532. Esta función permite que un TBK DVR comprometido actúe como punto de apoyo para extender el botnet dentro de la red local, atacando otros nodos IoT y de infraestructura.
Además de explotar vulnerabilidades, Nexcorium incorpora una lista de credenciales codificadas que se usan para ataques de fuerza bruta sobre el protocolo Telnet. Telnet transmite datos en texto claro y, combinado con contraseñas por defecto, ofrece un vector de ataque muy efectivo. Si el intento de autenticación tiene éxito, el malware obtiene una shell remota, configura el autostart mediante crontab y systemd y se conecta a un servidor de mando y control (C2) desde el que recibe órdenes para lanzar ataques DDoS.
Para dificultar el análisis forense, el botnet elimina el binario inicialmente descargado tras consolidar su persistencia, una táctica habitual en campañas de malware IoT.
RondoDox, Mirai y Morte: la aparición del “loader-as-a-service”
Investigaciones previas de CloudSEK señalan que la misma CVE-2024-3721 también se ha utilizado para desplegar no solo variantes de Mirai, sino también el relativamente nuevo botnet RondoDox y la familia Morte. Estos casos se inscriben en un modelo de negocio emergente: infraestructuras de loader-as-a-service, donde grupos criminales alquilan servicios de distribución de malware.
En este modelo, los operadores de los loaders se encargan de aprovechar contraseñas débiles y vulnerabilidades en routers, dispositivos IoT y aplicaciones corporativas, ofreciendo a terceros la posibilidad de instalar RondoDox, Mirai, Morte u otros payloads. Este enfoque reduce significativamente la barrera de entrada al cibercrimen, de forma similar a lo observado con el ransomware-as-a-service.
Routers TP-Link EoL, CVE-2023-33538 y el botnet Condi
En paralelo, Unit 42 de Palo Alto Networks ha registrado campañas de escaneo automatizado dirigidas a la vulnerabilidad CVE-2023-33538 (CVSS 8,8) en varios routers TP-Link en estado end-of-life (EoL). De nuevo se trata de una inyección de comandos en el interfaz web de administración.
Los exploits observados hasta ahora presentan errores y, según los análisis, no logran comprometer con éxito los equipos. Sin embargo, la vulnerabilidad es real y, correctamente explotada, podría otorgar un control amplio sobre el router. Un matiz importante es que el atacante necesita estar autenticado en la web admin, pero en la práctica muchas organizaciones mantienen usuarios y contraseñas por defecto, lo que reduce considerablemente esta barrera.
El objetivo de los atacantes es desplegar un malware tipo Mirai conocido como Condi, identificado por múltiples referencias a esa cadena en su código fuente. Condi puede auto‑actualizarse a nuevas versiones y comportarse como servidor web para distribuir copias del malware a otros dispositivos que se conecten a él, maximizando así su capacidad de propagación.
La vulnerabilidad CVE-2023-33538 fue incorporada en junio de 2025 al catálogo Known Exploited Vulnerabilities (KEV) de la CISA, lo que subraya su relevancia. Los routers TP-Link EoL, al carecer de parches de seguridad, representan un riesgo permanente para redes domésticas y corporativas.
Seguridad IoT: factores de riesgo y medidas prioritarias
Los informes de Fortinet, Palo Alto Networks y CISA coinciden en varios puntos críticos. La masificación de dispositivos IoT, la escasa cultura de actualización de firmware y el abuso de configuraciones y credenciales de fábrica convierten estos equipos en objetivos prioritarios para los operadores de botnets. Una vulnerabilidad que exige autenticación deja de ser “limitada” cuando prácticamente cualquiera puede entrar con “admin/admin”.
La historia de Mirai demuestra que el código de un botnet puede permanecer activo durante años, reempaquetado y adaptado a nuevas vulnerabilidades y modelos de hardware. Nexcorium y Condi son eslabones recientes de esta cadena evolutiva y evidencian que el problema no se limita a incidentes aislados, sino a una superficie de ataque estructuralmente amplia.
Los usuarios y las organizaciones que operan routers TP-Link, TBK DVR u otros dispositivos IoT deben interpretar estas campañas como una llamada a la acción. Es fundamental sustituir equipos con estado EoL por modelos soportados, aplicar de forma sistemática las actualizaciones de firmware, deshabilitar servicios inseguros como Telnet, cambiar las contraseñas por defecto por claves únicas y robustas y segmentar la red para aislar el tráfico IoT. El monitoreo de tráfico anómalo y la consulta periódica de fuentes oficiales como CISA o los CERT nacionales son pasos esenciales para reducir la exposición y anticiparse a la próxima ola de botnets tipo Mirai.
