Botnet con acento italiano: Ballista penetra en los enrutadores TP-Link

Los enrutadores TP-Link Archer vulnerables se han convertido en el objetivo de una nueva campaña de botnets llamada Ballista, según informaron investigadores de la empresa Cato Networks. La red maliciosa explota la vulnerabilidad CVE-2023-1389, que permite a los atacantes ejecutar código arbitrario en dispositivos no actualizados.

Esta vulnerabilidad crítica, que afecta a los TP-Link Archer AX-21, permite la inyección de comandos y el control remoto del dispositivo. Los primeros signos de explotación se detectaron en abril de 2023, cuando los atacantes propagaban el botnet Mirai. Posteriormente, la vulnerabilidad se utilizó para distribuir otros programas maliciosos, como Condi y AndroxGh0st.

Los especialistas de Cato detectaron por primera vez la actividad de Ballista el 10 de enero de 2025, y el último ataque registrado ocurrió el 17 de febrero. El ataque comienza con la descarga del script malicioso «dropbpb.sh», que ejecuta un archivo adaptable a varias arquitecturas, incluidas mips, arm y x86_64.

Tras la instalación, el malware crea un canal de comunicación cifrado a través del puerto 82, permitiendo a los atacantes ejecutar comandos para futuros ataques, incluidos la ejecución remota de código y ataques de denegación de servicio (DoS). Además, el programa malicioso intenta acceder a archivos confidenciales del sistema.

Ballista admite varios comandos, entre ellos «flooder» para ataques de sobrecarga, «exploiter» para explotar CVE-2023-1389 y «shell» para la ejecución de comandos en Linux. Asimismo, el botnet puede eliminar sus huellas, finalizar copias previamente ejecutadas de sí mismo y propagarse a otros dispositivos mediante la misma vulnerabilidad.

Los investigadores encontraron en el código del malware líneas con comentarios en italiano, así como una dirección IP de control italiana (2.237.57[.]70), lo que podría indicar el origen de los atacantes. Actualmente, la dirección IP mencionada ya no está activa, y la nueva versión de Ballista utiliza dominios de la red TOR para ocultar la fuente de control.

Según datos de Censys, más de 6000 dispositivos ya han sido infectados por Ballista, y se han registrado brotes de actividad del botnet en Brasil, Polonia, Reino Unido, Bulgaria y Turquía. Entre las empresas atacadas hay organizaciones de los sectores de manufactura, salud, tecnología y servicios en EE. UU., Australia, China y México.

Aunque Ballista comparte similitudes con otros botnets como Mirai y Mozi, este nuevo botnet representa una amenaza independiente, lo que resalta su desarrollo activo y su potencial para futuros ataques.