CatDDoS: una nueva variación del botnet Mirai ataca más de 300 objetivos diariamente

En los últimos tres meses, los hackers detrás del botnet CatDDoS han explotado más de 80 vulnerabilidades conocidas en varios productos de software para infectar dispositivos e incorporarlos a su red para llevar a cabo ataques de denegación de servicio (DDoS).

Según investigadores de la empresa QiAnXin, las muestras relacionadas con CatDDoS explotan numerosas vulnerabilidades conocidas. El número máximo de objetivos atacados en un día supera los 300.

Las vulnerabilidades afectan a enrutadores, equipos de red y otros dispositivos de fabricantes como Apache (ActiveMQ, Hadoop, Log4j y RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE y Zyxel.

CatDDoS fue descrito por primera vez por QiAnXin y NSFOCUS a fines de 2023 como una variante del botnet Mirai, capaz de llevar a cabo ataques DDoS utilizando protocolos UDP, TCP y otros métodos. Detectado por primera vez en agosto de 2023, este malware recibió su nombre debido a cadenas como «catddos.pirate» y «password_meow» en los dominios de su centro de control.

La mayoría de los objetivos atacados se encuentran en China, Estados Unidos, Japón, Singapur, Francia, Canadá, Reino Unido, Bulgaria, Alemania, Países Bajos e India.

Además de usar el algoritmo ChaCha20 para cifrar la comunicación con el servidor de control, el botnet utiliza un dominio OpenNIC para evitar la detección. Este método ya había sido utilizado por otro botnet basado en Mirai llamado Fodcha.

CatDDoS también utiliza el mismo par de clave y número de uso único para el algoritmo ChaCha20 que otros tres botnets: hailBot, VapeBot y Woodman.

Según QiAnXin XLab, los ataques de CatDDoS apuntan a servicios en la nube, educación, investigación científica, tecnologías de la información, gobierno, construcción y otros sectores.

Se cree que los autores del malware cesaron sus actividades en diciembre de 2023, pero antes vendieron el código fuente en un grupo especial de Telegram.

Debido a la venta o filtración del código fuente, surgieron nuevas variantes de botnets, como RebirthLTD, Komaru y Cecilio Network. Aunque las diferentes variantes puedan ser operadas por distintos grupos, hay pocos cambios en el código, el diseño de comunicación y los métodos de descifrado.

La situación con la propagación del botnet CatDDoS y amenazas similares subraya la importancia de solucionar las vulnerabilidades a tiempo, monitorear constantemente las amenazas y la cooperación internacional en ciberseguridad para proteger la infraestructura digital.