4 noviembre 2024

Horse Shell: nuevo malware descubierto en routers de hogares y oficinas

Un nuevo malware del tipo backdoor llamado «Horse Shell» fue descubierto en routers de hogares y oficinas, según investigadores de ciberseguridad de Check Point Research (CPR).  El malware permite a los ciber criminales tomar el control total del punto final infectado y obtener acceso a la red más amplia mientras permanecen ocultos.

El grupo detrás de este ataque es conocido como Camaro Dragon, un grupo de Amenaza Persistente Avanzada (APT) de China con vínculos directos con el gobierno de ese país.  Su infraestructura se superpone significativamente con la de otro atacante patrocinado por el estado chino, Mustang Panda.

Checkpoint descubrió una imagen de firmware personalizada afiliada a «Camaro Dragon» que contenía varios componentes maliciosos, incluyendo un implante personalizado MIPS32 ELF apodado «Horse Shell». Este implante permite a los atacantes ejecutar comandos de shell arbitrarios en el router infectado, subir y descargar archivos al router y relay de comunicaciones entre diferentes clientes.

Malware
Imagen DALL-E

Aunque el malware se encontró en routers TP-Link, no es específico de la marca. Es agnóstico al firmware, lo que significa que una amplia gama de dispositivos y proveedores pueden estar en serio riesgo. Los atacantes probablemente están apuntando a dispositivos con vulnerabilidades conocidas o credenciales de inicio de sesión débiles y que se pueden adivinar fácilmente.

El objetivo exacto de la campaña no está claro. Si bien Camaro Dragon buscó instalar Horse Shell en routers pertenecientes a entidades de asuntos exteriores europeas, es difícil decir a quién estaban atacando. Como explica CPR, los implantes de router a menudo se instalan en dispositivos arbitrarios sin interés particular, con el objetivo de crear una cadena de nodos entre las infecciones principales y el verdadero comando y control.

Para protegerse contra tales amenazas, se aconseja a las empresas que actualicen regularmente el firmware y el software de los routers y otros dispositivos, actualicen las contraseñas y otras credenciales de inicio de sesión regularmente, utilicen autenticación multifactor (MFA) siempre que sea posible y empleen soluciones de protección de puntos finales de última generación, firewalls y otros programas antivirus.

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos y a través de Instagram para ver nuestras imágenes!

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →