Investigadores de la firma de ciberseguridad Sekoia han descubierto una sofisticada operación de ciberespionaje llevada a cabo por el grupo ViciousTrap, que ha comprometido más de 5,300 dispositivos de red perimetral en 84 países. Los atacantes han convertido estos dispositivos en una extensa red de honeypots, diseñados para recopilar información sobre nuevas técnicas de ataque y vulnerabilidades.
Explotación de Vulnerabilidades Críticas en Dispositivos Cisco
La campaña explota principalmente la vulnerabilidad crítica CVE-2023-20118, que afecta a varios modelos de routers Cisco Small Business, incluyendo las series RV016, RV042, RV042G, RV082, RV320 y RV325. El análisis revela que la mayor concentración de dispositivos comprometidos se encuentra en Macao, con aproximadamente 850 unidades afectadas.
Infraestructura y Metodología del Ataque
Los atacantes implementan un script malicioso denominado NetGhost tras comprometer los dispositivos. Este malware redirige el tráfico de red entrante desde puertos específicos hacia una infraestructura controlada por los atacantes. Los expertos han identificado similitudes técnicas con el botnet PolarEdge, sugiriendo una posible conexión entre ambas campañas.
Amplitud del Ataque y Dispositivos Objetivos
La investigación ha revelado que ViciousTrap tiene como objetivo equipos de red de más de 50 fabricantes, incluyendo Araknis Networks, Asus, D-Link, Linksys y Qnap. Los dispositivos afectados abarcan routers domésticos, gateways SSL-VPN, grabadores de video digital y controladores BMC, evidenciando la naturaleza indiscriminada del ataque.
Indicadores de Origen y Motivaciones
El análisis técnico ha identificado que los ataques se originan desde direcciones IP asociadas al proveedor de hosting malasio Shinjiru (AS45839). La infraestructura utilizada muestra conexiones con el malware GobRAT y emplea servidores en Taiwán y Estados Unidos, lo que podría indicar un origen chino de la operación.
Esta campaña representa una amenaza significativa para la seguridad global, ya que permite a los atacantes monitorear y recopilar información sobre nuevas técnicas de ataque y vulnerabilidades zero-day. Para protegerse, las organizaciones deben mantener actualizados sus dispositivos de red, implementar firewalls de nueva generación y monitorear activamente el tráfico de red en busca de comportamientos sospechosos.
