Grupo chino de ciberespionaje lanza botnet Raptor Train, que ataca a ejércitos de Estados Unidos y Taiwán
En un sorprendente avance, los expertos en ciberseguridad han descubierto una operación masiva de botnet orquestada por un grupo de espionaje patrocinado por el estado chino. Esta botnet, cuyo nombre en código es Raptor Train , ha comprometido cientos de miles de dispositivos de pequeñas oficinas y oficinas en el hogar (SOHO) e Internet de las cosas (IoT), poniendo en riesgo la infraestructura crítica en los EE. UU. y Taiwán. La botnet se dirige principalmente a sectores como el ejército, el gobierno, la educación superior, las telecomunicaciones y las bases industriales de defensa.
Tabla de contenido
El tren Raptor es una amenaza de múltiples niveles
Según un informe de Black Lotus Labs, la división de investigación de Lumen Technologies, la botnet fue creada por el grupo de hackers chino conocido como Flax Typhoon . Este grupo de amenazas persistentes avanzadas (APT) es famoso por infiltrarse en organizaciones taiwanesas mientras mantiene el sigilo mediante el uso de un mínimo de malware y herramientas de software legítimas. Black Lotus Labs estima que la botnet ha infectado más de 200.000 dispositivos desde su creación en mayo de 2020. En su punto máximo, a mediados de 2023, más de 60.000 dispositivos se vieron comprometidos activamente.
La infraestructura de comando y control (C2) detrás de la botnet es altamente sofisticada. El backend está impulsado por una plataforma Node.js centralizada, mientras que una herramienta frontend multiplataforma llamada Sparrow administra los dispositivos comprometidos. Sparrow está diseñado para ejecutar comandos de forma remota, administrar vulnerabilidades, facilitar transferencias de archivos y, potencialmente, lanzar ataques distribuidos de denegación de servicio (DDoS). Sin embargo, todavía no se ha informado de ninguna actividad DDoS desde la botnet.
Explotación de dispositivos IoT para espionaje
La botnet Raptor Train se divide en tres niveles. El nivel 1 consta de dispositivos IoT comprometidos, como enrutadores, módems, cámaras IP y sistemas de almacenamiento conectados a la red (NAS). Estos dispositivos rotan constantemente y permanecen activos durante un promedio de 17 días antes de ser reemplazados. El nivel 2 es responsable de los servidores de explotación y los nodos C2, mientras que el nivel 3 administra la red a través de la plataforma Sparrow .
Se están explotando más de 20 tipos diferentes de dispositivos, incluidos módems de ActionTec, ASUS y DrayTek Vigor, junto con cámaras IP de D-Link, Hikvision y Panasonic, mediante una combinación de vulnerabilidades de día cero y conocidas. El malware que alimenta los nodos de nivel 1, denominado Nosedive , es una variante del infame implante Mirai. Nosedive opera completamente en la memoria, lo que lo hace extremadamente difícil de detectar, e infecta una amplia gama de dispositivos, incluidos aquellos con arquitecturas MIPS, ARM, SuperH y PowerPC.
Ataques a infraestructuras críticas de Estados Unidos y Taiwán
La botnet ha estado escaneando y atacando exhaustivamente sectores clave del gobierno y el ejército de Estados Unidos, así como organizaciones dentro de la base industrial de defensa (DIB). Los investigadores de Black Lotus Labs han observado actividad de botnet destinada a explotar software vulnerable como servidores Atlassian Confluence y dispositivos Ivanti Connect Secure, con especial atención a Estados Unidos y Taiwán.
En un caso, los operadores de la botnet atacaron una agencia gubernamental de Kazajstán, lo que ilustra el alcance global de la operación Raptor Train. Los ataques se basan en herramientas personalizadas y técnicas avanzadas, lo que dificulta la identificación y neutralización de la botnet.
Respuesta de la industria y de las fuerzas del orden
En respuesta a la amenaza que representa la botnet Raptor Train, Black Lotus Labs ha anulado el tráfico de los nodos e infraestructuras de la botnet conocidos. Las fuerzas de seguridad de Estados Unidos están trabajando activamente para desmantelar la botnet, que sigue siendo una amenaza inminente para la infraestructura crítica en todo el mundo.
Si bien el objetivo principal de la botnet es el espionaje, su capacidad para ejecutar comandos de forma remota y gestionar vulnerabilidades genera inquietudes sobre posibles ataques DDoS u otras actividades disruptivas. Mientras la comunidad de ciberseguridad continúa monitoreando y mitigando esta amenaza, las organizaciones de los EE. UU. y Taiwán deben permanecer alertas para proteger sus dispositivos y redes de IoT contra una mayor explotación.
El descubrimiento de la botnet Raptor Train es un duro recordatorio de la vulnerabilidad de los dispositivos IoT en el mundo interconectado de hoy. Con los grupos de ciberespionaje chinos apuntando a sectores críticos de Estados Unidos y Taiwán, mantener fuertes medidas de ciberseguridad nunca ha sido más importante. Las organizaciones deben asegurarse de que sus redes y dispositivos se actualicen y se apliquen parches con regularidad para defenderse de esta sofisticada botnet.
Conclusiones clave :
- El grupo APT Flax Typhoon ha construido la botnet Raptor Train, apuntando a entidades militares y gubernamentales de Estados Unidos y Taiwán.
- Se han infectado más de 200.000 dispositivos IoT, centrándose en enrutadores, módems, cámaras IP y sistemas NAS.
Al comprender las tácticas y los objetivos de grupos como Flax Typhoon, podemos proteger mejor nuestra infraestructura crítica de futuras amenazas cibernéticas.