Etiquetas

Alerta sobre la peligrosa botnet RondoDox que infiltra dispositivos de videovigilancia y routers para ataques cibernéticos masivos


Imagen: Zdzisław Beksiński


  • Para evadir los sistemas de filtrado, la botnet simula tráfico proveniente de redes de plataformas de juegos populares (Valve, Minecraft, GTA, Fortnite, Roblox, DayZ), aplicaciones de mensajería instantánea (Discord), protocolos VPN (OpenVPN, WireGuard, RakNet) y servicios en tiempo real (STUN, DTLS, RTC). Esta estrategia le permite camuflarse como tráfico legítimo y evitar ser detectada.

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

La unidad de investigación de SILIKN ha emitido una alerta sobre una nueva campaña de malware que aprovecha activamente vulnerabilidades en grabadoras de video digital TBK y en routers de la marca Four-Faith. El objetivo de los atacantes es comprometer estos dispositivos para incorporarlos a una botnet emergente denominada RondoDox.

El ataque se basa en la explotación de dos vulnerabilidades conocidas: CVE-2024–3721, que permite la inyección de comandos en los modelos DVR TBK DVR-4104 y DVR-4216, y CVE-2024–12856, que posibilita la ejecución remota de comandos en routers de las series Four-Faith F3x24 y F3x36. Estos dispositivos son ampliamente utilizados en comercios minoristas, empresas de logística y pequeñas organizaciones, sectores en los que con frecuencia no se aplican actualizaciones y permanecen sin supervisión durante largos períodos. Además, muchos de estos equipos están expuestos directamente a internet, operan con firmware obsoleto y tienen puertos abiertos, condiciones que los convierten en blancos vulnerables y atractivos para los atacantes.

Los DVR TBK y routers Four-Faith, debido a su bajo costo y facilidad de instalación, son comunes en diversos entornos. En comercios minoristas se encuentran en tiendas de conveniencia como OXXO y 7-Eleven, farmacias independientes como Farmacias Similares, boutiques de ropa y joyerías en centros comerciales pequeños. En logística, estos dispositivos son usados por empresas de paquetería como Estafeta en servicios locales, en almacenes de productos perecederos de mercados mayoristas como la Central de Abasto, y en empresas de transporte de carga en zonas rurales. Asimismo, pequeñas organizaciones como escuelas privadas, guarderías, clínicas dentales o médicas independientes, así como oficinas de contadores o abogados en edificios compartidos, dependen de estos dispositivos para videovigilancia y conectividad remota en entornos con recursos limitados.

Para mitigar estos riesgos, es fundamental que las empresas mantengan el firmware actualizado, implementen segmentación de redes mediante VLANs o firewalls, cierren puertos innecesarios y utilicen VPNs para el acceso remoto. En especial para comercios y organizaciones sin personal técnico, la contratación de servicios externos de ciberseguridad es una opción viable que garantiza la protección de sistemas expuestos y reduce la probabilidad de explotación por parte de atacantes.

La unidad de investigación de SILIKN reporta que las vulnerabilidades antes mencionadas ya están siendo explotadas para distribuir variantes de la familia de botnets Mirai. Sin embargo, RondoDox representa un nivel superior de sofisticación, con una arquitectura y funcionalidades poco convencionales.

El malware fue detectado por primera vez en septiembre de 2024, identificándose archivos ejecutables para Linux (ELF) y componentes asociados a RondoDox. Este programa oculta su presencia simulando el tráfico de servicios en línea populares, lo que dificulta su detección por parte de los sistemas de monitoreo.

Más allá de la infección inicial, el verdadero peligro radica en el uso que se da a los dispositivos comprometidos. A diferencia de las botnets tradicionales, los nodos infectados con RondoDox se transforman en servidores proxy que facilitan la transmisión de tráfico de control, ejecutan esquemas fraudulentos en múltiples etapas y refuerzan ataques DDoS orientados a desestabilizar infraestructuras críticas.

Inicialmente, RondoDox estaba dirigido a sistemas Linux con arquitecturas ARM y MIPS. Posteriormente, se desarrolló un gestor de arranque adaptable que soporta un amplio rango de plataformas, incluyendo Intel 80386, MC68000, PowerPC, SuperH, ARCompact, x86–64 y AArch64.

Al activarse, el malware desactiva las señales del sistema SIGINT, SIGQUIT y SIGTERM, y busca directorios con permisos de escritura, como /dev, /dev/shm, /mnt y /var/tmp. Una vez encuentra un lugar adecuado, carga y ejecuta el módulo principal, para luego borrar el historial de comandos y ocultar su actividad.

El malware se instala asegurando su ejecución automática tras cada reinicio. Para evitar ser detectado, termina procesos asociados a herramientas comunes como wget, curl, Wireshark y gdb, además de eliminar malware competidor, incluyendo criptomineros y puertas traseras.

También se ha detectado que RondoDox reemplaza archivos ejecutables del sistema con versiones modificadas, asignándoles nombres aleatorios en directorios como /usr/sbin y /usr/bin. Por ejemplo, renombra iptables como jsuJpf, passwd como ahwdze y reboot como gaajct.

Una vez instalada, la botnet establece comunicación con su servidor de comando y control (C2), ubicado en la dirección 83.150.218[.]93, desde donde recibe instrucciones para lanzar ataques DDoS mediante los protocolos HTTP, UDP y TCP.

Para evadir los sistemas de filtrado, la botnet simula tráfico proveniente de redes de plataformas de juegos populares (Valve, Minecraft, GTA, Fortnite, Roblox, DayZ), aplicaciones de mensajería instantánea (Discord), protocolos VPN (OpenVPN, WireGuard, RakNet) y servicios en tiempo real (STUN, DTLS, RTC). Esta estrategia le permite camuflarse como tráfico legítimo y evitar ser detectada.

RondoDox utiliza bibliotecas personalizadas, técnicas anti-virtualización, cifrado XOR y una infraestructura de control sofisticada, factores que contribuyen a su alta resistencia y peligrosidad.

Este caso subraya la importancia crítica de mantener actualizado el firmware de dispositivos de red como los DVR TBK y routers Four-Faith, así como de realizar auditorías periódicas en la infraestructura de Internet de las Cosas (IoT) para identificar y mitigar vulnerabilidades.

Frente a las amenazas cibernéticas actuales, es indispensable adoptar un enfoque de seguridad integral que abarque desde el fortalecimiento del hardware hasta la implementación de medidas robustas en la red, como la segmentación, el cierre de puertos innecesarios y el uso de VPNs. La falta de mantenimiento y la exposición directa a internet, comunes en comercios minoristas, empresas de logística y pequeñas organizaciones, facilitan que los atacantes exploten vulnerabilidades como CVE-2024–3721 y CVE-2024–12856.

Por lo tanto, resulta fundamental que las empresas, en particular aquellas con recursos técnicos limitados, adopten prácticas proactivas de ciberseguridad, incluyendo la contratación de servicios especializados, para proteger sus sistemas y asegurar la continuidad operativa en un escenario de amenazas crecientes.

Para más información, visite: https://www.silikn.com/
Etiquetas: