La botnet Mozi ha renacido: Androxgh0st busca activamente servidores e IoT

A principios de 2024, los especialistas de la empresa CloudSEK descubrieron el resurgimiento del legendario botnet Mozi, que ahora opera bajo un nuevo nombre: Androxgh0st. Este botnet utiliza activamente vulnerabilidades en servidores web y dispositivos IoT, como Cisco ASA, Atlassian JIRA y plataformas PHP, para infiltrarse en infraestructuras críticas.

Según datos de CloudSEK, desde enero de 2024, Androxgh0st comenzó a emplear tácticas maliciosas que anteriormente eran características de Mozi. Como resultado, el botnet ha adquirido la capacidad no solo de atacar servidores web, sino también de escalar sus operaciones, apuntando a dispositivos del internet de las cosas (IoT).

Androxgh0st utiliza métodos avanzados para la ejecución remota de código y el robo de credenciales, lo que le permite mantener acceso prolongado a los sistemas infectados. Los expertos señalan el uso activo de vulnerabilidades previamente descritas en los boletines de CISA, incluyendo la vulnerabilidad CVE-2023-1389 (CVSS: 8.8) en routers TP-Link y CVE-2024-36401 (CVSS: 9.8) en el sistema GeoServer.

Además, el botnet explota vulnerabilidades como la filtración de datos a través del framework Laravel y la ejecución remota de comandos en servidores Apache. Estos ataques permiten a los atacantes acceder a datos confidenciales e instalar archivos maliciosos para el control posterior de los sistemas.

Anteriormente, en 2021, las autoridades chinas detuvieron a los creadores de Mozi, lo que supuestamente llevó al bloqueo de sus servidores de comando. Sin embargo, a pesar de esto, los elementos restantes de la infraestructura fueron integrados en Androxgh0st, lo que dio al nuevo botnet la capacidad de utilizar los recursos de Mozi para ampliar el alcance de sus ataques.

Lo que causa especial preocupación es que Androxgh0st elude con éxito muchos mecanismos de seguridad y utiliza ataques de fuerza bruta para acceder a paneles administrativos en sitios que operan en WordPress. Esto permite a los atacantes instalar archivos maliciosos y organizar ataques adicionales en los servidores.

Los expertos de CloudSEK recomiendan encarecidamente a las organizaciones que apliquen de inmediato parche para mitigar las vulnerabilidades mencionadas anteriormente, así como revisar regularmente sus sistemas en busca de signos de compromiso. Las principales medidas de protección incluyen la monitorización del tráfico de red, la revisión de los registros de los servidores web y el uso de herramientas de detección y respuesta a incidentes.