Un nuevo botnet IoT de tipo Mirai, identificado como ShadowV2, ha sido analizado por el equipo de FortiGuard Labs tras detectarse una campaña limitada en el tiempo que aprovecha múltiples vulnerabilidades conocidas en routers, grabadores de vídeo y otros dispositivos conectados. El objetivo principal de esta red de dispositivos comprometidos es la ejecución de ataques DDoS de alta capacidad contra objetivos seleccionados.
ShadowV2: actividad ligada a un incidente en AWS y despliegue controlado
Según FortiGuard Labs, la actividad de ShadowV2 coincidió con un importante fallo en la plataforma en la nube de AWS en octubre de 2024. El tráfico malicioso fue observado únicamente durante la ventana temporal del incidente y desapareció posteriormente, lo que sugiere un ensayo controlado de la infraestructura antes de posibles campañas a mayor escala.
Las conexiones de escaneo y explotación partían de una única dirección IP, 198[.]199[.]72[.]27, orientando los ataques hacia routers, dispositivos NAS y videograbadores (NVR) desplegados tanto en entornos domésticos como corporativos. Este patrón apunta a una operación planificada, con selección previa de la superficie de ataque IoT.
Vulnerabilidades IoT explotadas por ShadowV2 en D-Link, TP-Link y otros fabricantes
ShadowV2 se propaga mediante escaneo automatizado de Internet y explotación de CVE ya documentadas en equipos IoT. Entre los objetivos principales destacan los dispositivos de la marca D-Link, muchos de ellos en estado de End-of-Life (EoL), lo que incrementa su nivel de riesgo.
Routers D-Link sin soporte: CVE críticas sin parche
El botnet aprovecha diversas vulnerabilidades en productos D-Link, entre ellas:
CVE explotadas en dispositivos D-Link:
– CVE-2020-25506
– CVE-2022-37055
– CVE-2024-10914
– CVE-2024-10915
La más crítica, CVE-2024-10914, permite la ejecución remota de comandos en ciertos routers antiguos de D-Link. El fabricante ha confirmado que no publicará parches para varios modelos afectados por encontrarse fuera de soporte.
Algo similar ocurre con CVE-2024-10915. D-Link actualizó su aviso de seguridad, añadió este nuevo identificador y alertó expresamente sobre la actividad de ShadowV2, recordando que los dispositivos EoL no reciben actualizaciones de firmware y constituyen una puerta de entrada recurrente para botnets Mirai.
TP-Link, DigiEver, TBK y DD-WRT: ampliación de la superficie de ataque IoT
El alcance de ShadowV2 no se limita a D-Link. El botnet también explota vulnerabilidades en otros fabricantes y plataformas:
– CVE-2009-2765 — dispositivos basados en firmware DD-WRT antiguos;
– CVE-2023-52163 — videograbadores de red DigiEver;
– CVE-2024-3721 — dispositivos de la marca TBK;
– CVE-2024-53375 — routers TP-Link.
Para CVE-2024-53375 en routers TP-Link ya existe una versión beta de parche, pero mientras los usuarios no apliquen la actualización, estos equipos siguen siendo un objetivo viable para ShadowV2 y otros botnets IoT basados en Mirai.
Técnicas de infección y capacidades DDoS del botnet ShadowV2
En cuanto a su arquitectura, ShadowV2 guarda similitudes con variantes previas como Mirai LZRD. La infección comienza mediante un script de descarga denominado binary.sh, que tras explotar la vulnerabilidad correspondiente obtiene el payload principal desde el servidor 81[.]88[.]18[.]108. Una vez instalado, el malware se persiste en el sistema y establece comunicación con la infraestructura de mando y control (C2).
Los dispositivos comprometidos se utilizan para lanzar ataques DDoS por UDP, TCP y HTTP, empleando distintos tipos de flood para cada protocolo. Esta diversidad complica la mitigación a nivel de filtrado de tráfico y permite ajustar los ataques a las defensas del objetivo. Los servidores C2 coordinan campañas distribuidas enviando órdenes específicas a miles de nodos IoT comprometidos.
Alcance geográfico y sectores afectados por el botnet IoT ShadowV2
Los intentos de explotación vinculados a ShadowV2 se han observado en 28 países, incluyendo Canadá, Estados Unidos, México, Brasil, Chile, varios estados europeos, Reino Unido, Rusia, Kazajistán, países de Oriente Medio, así como China, Japón, Taiwán, Filipinas y Australia. Esta dispersión confirma el alcance global típico de los botnets IoT.
Las víctimas identificadas abarcan al menos siete sectores: administraciones públicas, empresas tecnológicas, industria manufacturera, proveedores de servicios de seguridad gestionada (MSSP), telecomunicaciones y organizaciones educativas, entre otros. Esto demuestra que la amenaza no afecta solo al usuario doméstico, sino también a infraestructuras corporativas y servicios críticos.
El caso de ShadowV2 refuerza una tendencia ya conocida en ciberseguridad IoT: los dispositivos desactualizados y fuera de soporte siguen siendo el eslabón más débil frente a botnets Mirai. Para reducir el riesgo, es recomendable aplicar una política estricta de actualización de firmware, retirar equipos EoL, limitar el acceso remoto a paneles de administración, segmentar la red para aislar los dispositivos IoT de los sistemas críticos y monitorizar indicadores de compromiso (IoC) publicados por fabricantes y laboratorios como FortiGuard Labs. Adoptar estas medidas no solo mitiga el impacto de ShadowV2, sino que también dificulta que futuras variantes conviertan routers y cámaras cotidianas en armas para campañas masivas de ataques DDoS.
