La botnet Ballista ataca los routers TP-Link

Investigadores de la empresa de ciberseguridad Cato Networks, han descubierto que una serie de routers TP-Link con vulnerabilidades no parcheadas, están siendo atacados para desarrollar una nueva red de bots conocida como Ballista.

El pirata informático detrás del malware, que creen que tiene su base en Italia, ha estado explotando una vulnerabilidad de firmware identificada como CVE-2023-1389 para permitir que la botnet «se propague automáticamente por Internet» a través de los dispositivos TP-Link sin parchear.

La Agencia de Seguridad de Infraestructura y Ciberseguridad estadounidense, confirmó previamente que CVE-2023-1389 estaba siendo explotado activamente y ordenó al resto de agencias civiles que corrigieran el error. La documentación de la vulnerabilidad y el parche señalan a un modelo en concreto de TP-Link, conocido como AX21 o AX1800.

Ofek Vardi, ingeniero de seguridad de Cato Networks, dijo que los investigadores están moderadamente seguros de que el hacker tiene su base en Italia debido a la ubicación de la dirección IP del servidor de comando y control (C2) y debido a las cadenas en idioma italiano encontradas dentro del código del malware: «Creemos que detectamos esta campaña en sus primeras etapas. Vimos su evolución, ya que, en poco tiempo, el actor de amenazas modificó el dropper inicial para permitir conexiones más sigilosas al servidor C2 a través de la red Tor».

En esta campaña en particular, el malware permite al atacante ejecutar comandos arbitrarios en dispositivos comprometidos. Esto sugiere que el autor del malware podría tener planes más ambiciosos que una botnet DDoS de pago convencional. Vardi señaló que el malware fue escrito de manera que permitiera agregar nuevas capacidades a futuras variantes.

Los routers TP-Link están en el punto de mira

En los últimos meses, funcionarios estadounidenses han dado la alarma sobre los enrutadores TP-Link, porque están siendo explotados repetidamente por piratas informáticos chinos que los han utilizado para violar la seguridad de gigantes de las telecomunicaciones e infraestructura crítica.

Durante años, los piratas informáticos han abusado de las vulnerabilidades críticas de los enrutadores TP-Link para utilizarlas como cobertura para ataques posteriores o agregarlas a poderosas botnets que interrumpen sitios web con tráfico falso. El Wall Street Journal informó en diciembre que las agencias estadounidenses estaban considerando prohibir los dispositivos TP-Link.