El grupo de hackers patrocinado por el estado chino Volt Typhoon comenzó a reconstruir su botnet de malware “KV-Botnet” después de que fuera interrumpido por las fuerzas del orden en enero, según investigadores de SecurityScorecard.
Volt Typhoon es un grupo de ciberespionaje patrocinado por el Estado chino que, según se informa, se ha infiltrado en la infraestructura crítica de Estados Unidos, entre otras redes en todo el mundo, durante al menos cinco años.
Su principal estrategia es piratear enrutadores y dispositivos de red SOHO, como firewalls Netgear ProSAFE, Cisco RV320, enrutadores DrayTek Vigor y cámaras IP Axis, para instalar malware personalizado que establece canales de comunicación y servidores proxy secretos y mantiene un acceso persistente a las redes específicas.
En enero de 2024, las autoridades estadounidenses anunciaron la interrupción de la botnet Volt Typhoon, que implicaba eliminar malware de los enrutadores infectados.
Aunque el primer intento de revivir Volt Typhoon en febrero fracasó, los informes de actores maliciosos que explotaron una vulnerabilidad de día cero en agosto indicaron que el grupo de amenazas seguía vivo y coleando.
Según un informe de SecurityScorecard, Volt Typhoon comenzó a reconstruir su botnet apuntando a enrutadores Cisco y Netgear obsoletos y comprometió una cantidad significativa de dispositivos en poco más de un mes.
Estos enrutadores se ven comprometidos mediante malware y webshells basados en MIPS que se comunican a través de puertos no estándar, lo que dificulta la detección.
Fuente: Cuadro de mando de seguridad
Volt Typhoon vuelve a la acción
SecurityScorecard informa que desde septiembre, Volt Typhoon ha regresado a través de una nueva red de dispositivos comprometidos ubicados principalmente en Asia.
El KV-Botnet, también apodado “JDYFJ Botnet” por SecurityScorecard debido al certificado SSL autofirmado visible en los dispositivos comprometidos, intenta comprometer principalmente los dispositivos de las series Cisco RV320/325 y Netgear ProSafe.
Fuente: Cuadro de mando de seguridad
Los investigadores del equipo STRIKE de SecurityScorecard dicen que en sólo 37 días, Volt Typhoon comprometió aproximadamente el 30% de todos los dispositivos Cisco RV320/325 expuestos a Internet. Sin embargo, aún no está claro cómo se piratearon los dispositivos.
“No sabemos exactamente qué debilidad o defecto se está explotando. Sin embargo, como los dispositivos están al final de su vida útil, ya no se proporcionan actualizaciones”, dijeron los investigadores a BleepingComputer.
Además, los investigadores le dijeron a BleepingComputer que no tienen idea de qué malware se utilizó en la botnet revivida. Sin embargo, notaron que algunos de los dispositivos infectados antes de la represión se habían reincorporado al grupo.
La operación principal de KV-Botnet parece ser enmascarar actividad maliciosa enrutando el tráfico a través de infraestructura legítima comprometida.
Los servidores de comando de la botnet están registrados en Digital Ocean, Quadranet y Vultr, para lograr una red más diversa y resiliente.
Curiosamente, Volt Typhoon utiliza un dispositivo VPN comprometido ubicado en la isla de Nueva Caledonia en el Pacífico como puente que dirige el tráfico entre Asia-Pacífico y América, actuando como un centro sigiloso.
Al comentar sobre la elección, SecurityScorecard le dijo a BleepingComputer que probablemente fue una decisión geográfica de los actores de amenazas.
Fuente: Cuadro de mando de seguridad
La actividad observada significa el regreso de Volt Typhoon a las operaciones globales, y aunque la escala de la botnet no se acerca en absoluto a la de iteraciones anteriores, los hackers chinos seguramente seguirán adelante con persistencia continua.
Para protegerse contra esta amenaza, los enrutadores más antiguos y no compatibles deben reemplazarse por modelos más nuevos, colocarse detrás de firewalls, el acceso remoto a los paneles de administración no debe estar expuesto a Internet y se deben cambiar las credenciales predeterminadas para la cuenta de administrador.
Si está utilizando enrutadores SOHO más nuevos, asegúrese de instalar el firmware más reciente tan pronto como esté disponible para corregir vulnerabilidades conocidas.