Un nuevo malware del tipo backdoor llamado «Horse Shell» fue descubierto en routers de hogares y oficinas, según investigadores de ciberseguridad de Check Point Research (CPR).  El malware permite a los ciber criminales tomar el control total del punto final infectado y obtener acceso a la red más amplia mientras permanecen ocultos.

El grupo detrás de este ataque es conocido como Camaro Dragon, un grupo de Amenaza Persistente Avanzada (APT) de China con vínculos directos con el gobierno de ese país.  Su infraestructura se superpone significativamente con la de otro atacante patrocinado por el estado chino, Mustang Panda.

Checkpoint descubrió una imagen de firmware personalizada afiliada a «Camaro Dragon» que contenía varios componentes maliciosos, incluyendo un implante personalizado MIPS32 ELF apodado «Horse Shell». Este implante permite a los atacantes ejecutar comandos de shell arbitrarios en el router infectado, subir y descargar archivos al router y relay de comunicaciones entre diferentes clientes.

Aunque el malware se encontró en routers TP-Link, no es específico de la marca. Es agnóstico al firmware, lo que significa que una amplia gama de dispositivos y proveedores pueden estar en serio riesgo. Los atacantes probablemente están apuntando a dispositivos con vulnerabilidades conocidas o credenciales de inicio de sesión débiles y que se pueden adivinar fácilmente.

El objetivo exacto de la campaña no está claro. Si bien Camaro Dragon buscó instalar Horse Shell en routers pertenecientes a entidades de asuntos exteriores europeas, es difícil decir a quién estaban atacando. Como explica CPR, los implantes de router a menudo se instalan en dispositivos arbitrarios sin interés particular, con el objetivo de crear una cadena de nodos entre las infecciones principales y el verdadero comando y control.

Para protegerse contra tales amenazas, se aconseja a las empresas que actualicen regularmente el firmware y el software de los routers y otros dispositivos, actualicen las contraseñas y otras credenciales de inicio de sesión regularmente, utilicen autenticación multifactor (MFA) siempre que sea posible y empleen soluciones de protección de puntos finales de última generación, firewalls y otros programas antivirus.