Cuttlefish: El espía marino sigiloso dentro de tu router

Un nuevo tipo de malware llamado «Cuttlefish» («calamar» en español) ha sido descubierto en routers en grandes empresas y pequeñas oficinas. Monitorea toda la información que pasa a través de los dispositivos infectados y roba credenciales.

El laboratorio Black Lotus Labs informa que Cuttlefish crea un túnel proxy o VPN en el router para transmitir datos de forma encubierta, evadiendo los sistemas de detección que registran entradas sospechosas.

El malware intercepta solicitudes DNS y HTTP dentro de las redes privadas, interrumpiendo las comunicaciones internas y cargando módulos maliciosos adicionales.

Si bien parte del código de Cuttlefish se asemeja a HiatusRat, usado en campañas alineadas con los intereses de China, no se ha encontrado una conexión directa entre los dos programas.

Cuttlefish ha estado activo desde julio de 2023 y lleva a cabo su campaña más activa en Turquía, además de afectar servicios de comunicaciones satelitales y centros de datos en otras regiones.

El método de infección inicial de los routers aún no se ha establecido, pero probablemente se aprovechan vulnerabilidades conocidas o se intenta adivinar las credenciales. Una vez que obtiene acceso al router, se ejecuta un script bash que comienza a recopilar datos del host, incluyendo la lista de directorios, procesos activos y conexiones.

El script cargado ejecuta la carga útil principal de Cuttlefish, que se carga en la memoria para evitar la detección, y el archivo se elimina inmediatamente del sistema de archivos.

Según Black Lotus Labs, existen diferentes versiones de Cuttlefish: para ARM, i386 y otras arquitecturas. En general, esta diversidad cubre una amplia gama de tipos de routers.

El malware utiliza filtros de paquetes para monitorear todas las conexiones y, cuando detecta ciertos datos, realiza acciones según reglas predefinidas que se actualizan periódicamente desde un servidor de control.

Cuttlefish busca activamente marcadores de credenciales en el tráfico, como nombres de usuario, contraseñas y tokens, especialmente relacionados con servicios en la nube. Los datos capturados se almacenan localmente y, una vez que alcanzan un cierto volumen, se envían a los ciberdelincuentes.

Para protegerse de Cuttlefish, se recomienda a los administradores de red deshacerse de contraseñas débiles, monitorear inicios de sesión inusuales, usar protocolos seguros TLS/SSL, verificar la presencia de archivos sospechosos y reiniciar periódicamente los dispositivos.

Además, es aconsejable, especialmente para routers de gama baja, comprobar regularmente las actualizaciones de firmware, bloquear el acceso remoto a la interfaz de administración y reemplazar rápidamente los dispositivos una vez que finalice su ciclo de soporte.