Cisco, ASUS y QNAP tomados como rehenes: la botnet PolarEdge se apodera de miles de dispositivos

La nueva campaña de malware PolarEdge compromete activamente dispositivos perimetrales de Cisco, ASUS, QNAP y Synology desde finales de 2023, convirtiéndolos en elementos de una botnet. Descubierto por la empresa Sekoia, el ataque explota la vulnerabilidad CVE-2023-20118 en los routers Cisco Small Business de la serie RV, permitiendo a los atacantes ejecutar comandos arbitrarios en dispositivos que ya no reciben actualizaciones debido a su estado de End-of-Life.

Cisco recomendó desactivar la gestión remota y bloquear el acceso a los puertos 443 y 60443, sin embargo, muchos dispositivos siguen siendo vulnerables. Durante los ataques registrados por Sekoia, los hackers utilizaron la vulnerabilidad para cargar un nuevo backdoor basado en TLS, capaz de aceptar conexiones entrantes y ejecutar comandos remotos.

El malware se ejecuta a través del script "q", que se descarga mediante FTP. Luego borra los registros de logs, finaliza procesos sospechosos, descarga el archivo "t.tar" desde el servidor de los atacantes y extrae el binario "cipher_log", que se inyecta en el sistema y se configura para ejecutarse en el inicio.

La botnet PolarEdge opera bajo un esquema clásico: tras la infección, el dispositivo establece una sesión TLS, crea un proceso secundario para gestionar solicitudes de clientes y ejecuta comandos. Además, la información sobre el nodo infectado se envía al servidor C2, permitiendo a los operadores rastrear los dispositivos comprometidos por dirección IP y puerto.

Además de los routers Cisco, el malware ataca dispositivos ASUS, QNAP y Synology. Los artefactos cargados en VirusTotal indican que la mayoría de los dispositivos afectados se encuentran en Taiwán. El código malicioso se distribuye a través de un servidor de Huawei Cloud (IP 119.8.186[.]227), lo que sugiere un alto nivel de organización en la campaña.

Según los expertos, la botnet ya ha infectado más de 2,000 dispositivos en todo el mundo. La mayor cantidad de infecciones se ha registrado en EE.UU., Taiwán, Rusia, India, Brasil, Australia y Argentina. Aún no se han determinado los objetivos exactos de los atacantes, pero el análisis de su funcionalidad sugiere que la botnet podría usarse para el proxy de tráfico malicioso o la ejecución de ataques DDoS.

Anteriormente, la empresa SecurityScorecard informó sobre otra gran red de botnets compuesta por más de 130,000 dispositivos infectados, utilizada para atacar cuentas de Microsoft 365. Los atacantes emplean ataques de tipo Password Spraying, explotando la autenticación básica y mecanismos de inicio de sesión no interactivo, que a menudo eluden la autenticación de dos factores.

Los hackers utilizan datos robados de registros de infostealers y luego lanzan ataques masivos contra servicios en la nube con el objetivo de obtener acceso no autorizado a información confidencial. Los expertos advierten que este método sigue siendo extremadamente peligroso, ya que la mayoría de las empresas no monitorean los registros de inicio de sesión no interactivo, lo que permite a los atacantes operar sin ser detectados.

El creciente número de botnets y la sofisticación de los ataques indican una mejora constante en el nivel de los atacantes. PolarEdge y otras amenazas relacionadas subrayan la necesidad de actualizar regularmente los equipos, monitorear el tráfico sospechoso y utilizar métodos de protección confiables, incluyendo la desactivación de servicios vulnerables.