Aquabot Botnet

Se ha detectado una variante de botnet basada en Mirai, conocida como Aquabot, que intenta explotar activamente una falla de seguridad que afecta a los teléfonos Mitel. Los atacantes pretenden integrar estos dispositivos en una botnet capaz de lanzar ataques de denegación de servicio distribuido (DDoS).

La vulnerabilidad en el punto de mira: CVE-2024-41710

La falla de seguridad a la que se dirige el ataque, CVE-2024-41710, tiene una puntuación CVSS de 6,8 y se origina en una vulnerabilidad de inyección de comandos en el proceso de arranque. Esta falla puede permitir a los atacantes ejecutar comandos arbitrarios dentro del entorno operativo del teléfono.

Dispositivos afectados y detalles del parche

La vulnerabilidad afecta a varios modelos de teléfonos Mitel, incluidos los teléfonos SIP de las series 6800, 6900 y 6900w, y la unidad de conferencia 6970. Mitel abordó el problema en julio de 2024, pero en agosto se hizo pública una vulnerabilidad de prueba de concepto (PoC), lo que podría abrir la puerta a los actores de amenazas.

Más de una vulnerabilidad en juego

Además de CVE-2024-41710, se ha observado que Aquabot ataca vulnerabilidades adicionales, incluidas CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 y CVE-2023-26801. La botnet también ha intentado explotar una falla de ejecución remota de código en los dispositivos Linksys E-series, lo que indica una amplia superficie de ataque.

Aquabot: una botnet basada en Mirai con historia

Aquabot es una botnet derivada del conocido framework Mirai , diseñada explícitamente para ejecutar ataques DDoS. Los investigadores han estado rastreando su actividad desde noviembre de 2023 y hay evidencia de una evolución continua.

Explotación de la falla: mecanismo de ataque

Los primeros indicios de explotación activa de CVE-2024-41710 surgieron a principios de enero de 2025. Los atacantes implementan el malware de botnet ejecutando un script de shell, que recupera la carga útil amenazante mediante el comando 'wget'. El método de ataque se parece mucho al exploit PoC disponible públicamente.

Una variante más sigilosa y avanzada

La variante Aquabot implicada en estos ataques parece ser la tercera iteración del malware. Introduce una nueva función 'report_kill', que informa al servidor de Comando y Control (C2) cuando finaliza el proceso de la botnet. Sin embargo, no hay evidencia de que esta función active una respuesta inmediata del servidor.

Además, la nueva variante se disfraza de "httpd.x86" para evitar ser detectada y está programada para terminar procesos específicos, como shells locales. Estas mejoras sugieren que se está intentando hacer que Aquabot sea más evasivo y que potencialmente detecte la actividad de botnets rivales.

Venta de acceso: la operación clandestina de DDoS por encargo

Las señales apuntan a que los actores de amenazas detrás de Aquabot ofrecen su botnet como un servicio DDoS en Telegram. Operan bajo alias como Cursinq Firewall, The Eye Services y The Eye Botnet, aprovechando los hosts comprometidos para proporcionar capacidades de ataque a los clientes que pagan.

El panorama más amplio: la amenaza persistente de Mirai

El resurgimiento de amenazas basadas en Mirai, como Aquabot, pone de relieve los riesgos constantes asociados a los dispositivos conectados a Internet. Muchos de estos dispositivos sufren de una seguridad inadecuada, software obsoleto o credenciales predeterminadas, lo que los convierte en blancos fáciles de explotación.

Una justificación engañosa de los atacantes

Los actores de amenazas suelen afirmar que sus operaciones con botnets son puramente para fines de prueba o educativos, con el fin de engañar a los investigadores y a las autoridades. Sin embargo, un análisis más detallado suele revelar sus verdaderas intenciones: ofrecer servicios DDoS o alardear abiertamente de sus actividades con botnets en foros clandestinos y canales de Telegram.

Tendencias

Mas Visto

Cargando...