Los ciberataques siguen creciendo cada día, y la nueva botnet "Raptor Train", es una prueba de ello. Este botnet ha infectado más de 200,000 dispositivos IoT en todo el mundo, desde cámaras de seguridad hasta electrodomésticos que usamos todos los días. Lo preocupante es que muchos de nosotros ni siquiera nos damos cuenta de que nuestros dispositivos pueden estar siendo utilizados para actividades maliciosas. ¿Cómo ha pasado esto? ¿Qué hace que "Raptor Train" sea tan peligroso? Y lo más importante: ¿cómo puedes proteger tus aparatos? En este artículo vamos a explicartelo.
Recientemente, expertos en ciberseguridad han identificado una red de bots nunca antes vista que ha comprometido una vasta cantidad de dispositivos IoT y de pequeñas oficinas u oficinas en casa (SOHO). Se cree que esta red está dirigida por un grupo de cibercriminales con vínculos a un estado nacional chino, conocido como Flax Typhoon (también llamado Ethereal Panda o RedJuliett).
Esta botnet, llamada "Raptor Train", ha estado en operación al menos desde mayo de 2020. Su actividad alcanzó un pico en junio de 2023, cuando llegó a comprometer activamente alrededor de 60,000 dispositivos. Sin embargo, desde entonces, la red ha crecido de manera alarmante, incorporando más de 200,000 dispositivos, incluidos enrutadores SOHO, sistemas de videograbación (NVR/DVR), servidores de almacenamiento en red (NAS) y cámaras IP. Esto la posiciona como una de las botnets IoT más grandes y sofisticadas atribuidas a un estado chino.
La infraestructura que sostiene esta botnet ha capturado cientos de miles de dispositivos, y está organizada en una arquitectura de tres niveles:
El funcionamiento de la botnet sigue un esquema en el que las órdenes se emiten desde los nodos de administración en el Nivel 3 (Sparrow) y son transmitidas a través de los servidores C2 en el Nivel 2, para luego llegar a los bots comprometidos en el Nivel 1. Esta estructura permite a los operadores controlar un enorme ejército de dispositivos de manera eficiente, haciendo que la botnet sea extremadamente difícil de rastrear y neutralizar.
Entre los dispositivos comprometidos por la botnet se encuentran enrutadores, cámaras IP, sistemas de grabación de video (DVR) y servidores NAS de una amplia gama de fabricantes, como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel.
La mayoría de los dispositivos infectados, o nodos de nivel 1, han sido localizados en países como Estados Unidos, Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Curiosamente, estos nodos tienen una vida útil promedio de poco más de 17 días, lo que sugiere que los atacantes tienen la capacidad de reinfectar los dispositivos cuando lo deseen.
En muchos de los casos observados, los atacantes no implementaron mecanismos que permitan que la infección persista después de un reinicio del dispositivo, lo que indica una estrategia centrada en la capacidad de reinfección constante más que en la permanencia indefinida.
Conoce más sobre: Ramnit Botnet: El Malware destacado en Latinoamérica en 2023
La clave del éxito de Raptor Train radica en la facilidad con la que puede volver a infectar dispositivos, aprovechando una gran variedad de vulnerabilidades conocidas en dispositivos SOHO e IoT. Con tantos dispositivos vulnerables conectados a internet, Raptor Train obtiene una especie de "persistencia" natural sin necesidad de técnicas avanzadas para mantener la infección.
Los dispositivos comprometidos están infectados por un implante en memoria llamado Nosedive, una versión personalizada de la botnet Mirai. Este implante se distribuye a través de servidores de nivel 2 que han sido configurados específicamente para ese propósito. Nosedive permite a los atacantes ejecutar comandos, cargar y descargar archivos y lanzar ataques DDoS desde los dispositivos infectados.
Los servidores de nivel 2, que gestionan la carga útil y el control de los dispositivos comprometidos, se rotan aproximadamente cada 75 días y están ubicados principalmente en Estados Unidos, Singapur, el Reino Unido, Japón y Corea del Sur. La cantidad de estos servidores ha crecido de manera significativa, pasando de tener entre 1 y 5 nodos en 2020-2022, a más de 60 entre junio y agosto de 2024. Estos servidores no solo controlan los dispositivos ya infectados, sino que también facilitan la incorporación de nuevos equipos a la red de bots y permiten realizar tareas de reconocimiento sobre los objetivos.
Desde su aparición a mediados de 2020, Raptor Train ha estado involucrado en al menos cuatro campañas distintas. Cada una de ellas se caracteriza por el uso de diferentes dominios raíz para sus servidores de comando y control (C2) y por los dispositivos que ataca:
Una de las campañas más notables fue Canary, que tuvo como objetivos principales los módems ActionTec PK5000, las cámaras IP Hikvision, los NVR Shenzhen TVT y los enrutadores ASUS. En esta campaña, los atacantes utilizaron una cadena de infección en varias capas. Primero, descargaban un script bash inicial que se conectaba a un servidor de nivel 2 para descargar el malware Nosedive y un segundo script bash. Este segundo script luego intentaba descargar y ejecutar un tercer script cada 60 minutos, lo que garantizaba que el dispositivo permaneciera bajo control.
La flexibilidad y capacidad de adaptación de estas campañas hacen que Raptor Train sea una de las botnets más persistentes y peligrosas, capaz de infectar y reinfectar dispositivos vulnerables con relativa facilidad.
Podría interesarte leer: Detección de Amenazas en IoT con Wazuh
Hasta ahora, no se han registrado ataques DDoS provenientes de la botnet Raptor Train. Sin embargo, la evidencia sugiere que esta red de bots ha sido utilizada para atacar entidades en Estados Unidos y Taiwán, especialmente en sectores clave como el militar, gubernamental, telecomunicaciones, educación superior, defensa y tecnología de la información.
Además, parece que los bots involucrados en Raptor Train han intentado explotar vulnerabilidades en servidores Atlassian Confluence y dispositivos Ivanti Connect Secure (ICS) dentro de estas mismas áreas, lo que sugiere un esfuerzo de escaneo amplio y continuo en busca de puntos débiles.
Además, se ha relacionado esta botnet con el grupo Flax Typhoon, un equipo de cibercriminales conocido por atacar objetivos en Taiwán, el sudeste asiático, América del Norte y África. Estas conexiones se basan en coincidencias en los perfiles de las víctimas, el uso del idioma chino y tácticas similares observadas en otros ataques.
El sistema de control que utiliza Raptor Train es altamente sofisticado, diseñado para gestionar más de 60 servidores de comando y control (C2) y los dispositivos infectados al mismo tiempo. Este sistema es capaz de realizar una amplia gama de actividades, incluyendo la explotación de bots, la gestión de vulnerabilidades y exploits, el control remoto de la infraestructura C2, así como la carga y descarga de archivos. También permite la ejecución de comandos a distancia y, en el futuro, podría facilitar ataques DDoS a gran escala utilizando dispositivos IoT.
Proteger los dispositivos IoT de ataques de botnets es crucial para evitar que tus dispositivos conectados sean secuestrados por redes de bots como "Raptor Train". Aquí te dejamos algunos pasos clave que puedes seguir para mejorar la seguridad de tus dispositivos IoT y evitar que sean infectados:
1. Cambia las contraseñas predeterminadas: Muchos dispositivos IoT vienen con contraseñas predeterminadas que son conocidas y fácilmente explotables por los atacantes. Lo primero que debes hacer al instalar un nuevo dispositivo es cambiar la contraseña por una fuerte y única. Utiliza una combinación de letras, números y caracteres especiales.
2. Mantén el firmware actualizado: Los fabricantes de dispositivos IoT suelen lanzar actualizaciones para corregir vulnerabilidades de seguridad. Asegúrate de que tus dispositivos estén siempre actualizados con el último firmware. Configura las actualizaciones automáticas si el dispositivo lo permite o revisa regularmente las páginas de soporte del fabricante.
3. Desactiva las funciones que no usas: Muchos dispositivos IoT vienen con funciones habilitadas por defecto que no necesariamente necesitas, como el acceso remoto o la transmisión de datos no esenciales. Desactiva cualquier característica que no utilices para reducir las oportunidades de ataque.
4. Usa una red separada para tus dispositivos IoT: Configura una red Wi-Fi separada exclusivamente para tus dispositivos IoT. De esta manera, si uno de tus dispositivos IoT se ve comprometido, no podrá acceder a otros dispositivos más críticos, como tu computadora o teléfono, que estén en la red principal.
5. Habilita la autenticación de dos factores (2FA): Si tus dispositivos IoT o el servicio en línea asociado ofrecen la opción de habilitar la autenticación de dos factores, úsala. Este paso adicional de verificación hace que sea mucho más difícil para un atacante obtener acceso a tu dispositivo.
6. Configura un firewall en tu red doméstica: Instala y configura un firewall para monitorear el tráfico entrante y saliente de tu red. Muchos routers modernos incluyen funciones de firewall que pueden bloquear el acceso no autorizado a tus dispositivos IoT.
7. Desactiva el acceso remoto si no es necesario: Algunos dispositivos IoT permiten el acceso remoto desde fuera de tu red local, lo cual puede ser una vía fácil para los atacantes si no está adecuadamente protegido. Si no necesitas esta funcionalidad, desactívala.
8. Monitorea el tráfico de tu red: Mantén un ojo en el tráfico de tu red doméstica utilizando herramientas o aplicaciones que detecten comportamientos inusuales. Si ves un aumento repentino en el uso de datos o conexiones a servidores desconocidos, podría ser una señal de que uno de tus dispositivos ha sido comprometido.
9. Usa herramientas de seguridad específicas para IoT: Existen soluciones de seguridad especializadas para dispositivos IoT, como software de detección de amenazas o firewalls específicos para este tipo de dispositivos. Considera la posibilidad de instalar una solución de este tipo para reforzar la seguridad.
10. Desactiva el UPnP (Universal Plug and Play): El UPnP es una función que permite a los dispositivos IoT conectarse y comunicarse entre sí de manera automática, pero también puede facilitar el acceso no autorizado. Si no necesitas que tus dispositivos IoT se descubran automáticamente, es recomendable desactivar esta función en tu router.
11. Cuidado con las aplicaciones móviles: Muchos dispositivos IoT se controlan a través de aplicaciones móviles. Asegúrate de que estas apps provengan de fuentes confiables (Google Play, App Store) y manténlas siempre actualizadas. Además, revisa qué permisos solicitan y evita instalar aplicaciones que pidan más acceso del necesario.
La seguridad de los dispositivos IoT a menudo se pasa por alto, pero con amenazas como la botnet "Raptor Train" en aumento, es esencial tomar precauciones. Pequeños cambios como actualizar contraseñas y desactivar funciones innecesarias pueden prevenir grandes problemas.