Nueva Campaña del Botnet Ballista Afecta a más de 6000 Routers TP-Link Archer a Nivel Global

CyberSecureFox 🦊

Nueva Campaña del Botnet Ballista Afecta a más de 6000 Routers TP-Link Archer a Nivel Global

por

Investigadores de Cato Networks han descubierto una extensa campaña del botnet Ballista que está explotando activamente una vulnerabilidad crítica en los routers TP-Link Archer. La amenaza ha comprometido más de 6000 dispositivos globalmente, afectando principalmente a organizaciones en los sectores industrial, sanitario y tecnológico.

Análisis Técnico de la Vulnerabilidad

La vulnerabilidad identificada como CVE-2023-1389, revelada durante la competición Pwn2Own en diciembre de 2022, permite a los atacantes ejecutar código de forma remota en los routers TP-Link Archer AX-21. A pesar de que TP-Link lanzó un parche correctivo en marzo de 2023 mediante el firmware 1.1.4 Build 20230219, una cantidad significativa de dispositivos permanece sin actualizar y vulnerable a estos ataques.

Características y Funcionamiento del Botnet Ballista

El malware se propaga utilizando un dropper denominado dropbpb.sh, que descarga el ejecutable principal en el dispositivo objetivo. La versatilidad del malware se evidencia en su compatibilidad con múltiples arquitecturas de hardware, incluyendo mips, mipsel, armv5l, armv7l y x86_64. Una vez infectado el dispositivo, establece un canal de comunicación cifrado con el servidor de comando y control a través del puerto 82.

Capacidades Principales del Malware

El arsenal de Ballista incluye funcionalidades avanzadas como:

  • Ejecución remota de comandos en dispositivos comprometidos
  • Capacidad para realizar ataques DDoS distribuidos
  • Extracción de información confidencial
  • Propagación automatizada mediante la explotación de CVE-2023-1389
  • Técnicas sofisticadas de evasión de detección

Distribución Geográfica e Impacto Sectorial

Las infecciones más numerosas se han detectado en Brasil, Polonia, Reino Unido, Bulgaria y Turquía, mientras que las organizaciones más afectadas se encuentran en Estados Unidos, Australia, China y México. El análisis forense del código y la infraestructura sugiere posibles vínculos con grupos cibercriminales italianos.

La amenaza continúa evolucionando activamente, con las últimas variantes del malware migrando desde infraestructuras basadas en IP estáticas hacia redes Tor más sofisticadas, dificultando significativamente su detección y mitigación. Se recomienda encarecidamente a todos los propietarios de routers TP-Link Archer actualizar inmediatamente sus dispositivos a la última versión del firmware disponible para prevenir posibles infecciones. Adicionalmente, es crucial implementar medidas de seguridad adicionales como el cambio de credenciales predeterminadas y la desactivación del acceso remoto cuando no sea necesario.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

cybersecurefox.com

© 2025 INFO

PRIVACY POLICY terms of service