¿Alguna vez has pensado que tu enrutador (router) de casa o el de la oficina podría ser el blanco de ciberataques? Para muchos, estos dispositivos pasan desapercibidos, pero en realidad son la puerta de entrada a tu red y a todo lo que conectas a ella. Recientemente, la botnet Quad7 sigue evolucionando y ahora apunta a más dispositivos SOHO con malware diseñado específicamente para equipos VPN de Zyxel, enrutadores inalámbricos de Ruckus y servidores multimedia Axentra.
Anteriormente, ya se habían detectado ataques a enrutadores TP-Link, como lo informó la empresa de seguridad Sekoia, basándose en el hallazgo original del investigador Gi7w0rm, quien bautizó la botnet por su enfoque en el puerto 7777.
Un nuevo informe advierte sobre la evolución de Quad7. La botnet ahora cuenta con servidores de prueba adicionales, ha lanzado nuevos clústeres de bots y ha comenzado a usar puertas traseras más sofisticadas, como shells inversos, dejando atrás los proxies SOCKS para operar de forma aún más sigilosa.
La evolución constante de la botnet deja claro que sus creadores no se han visto desanimados por los errores revelados en los análisis de ciberseguridad. De hecho, están adoptando nuevas tecnologías más difíciles de detectar. Aunque el propósito exacto de Quad7 sigue siendo incierto, todo apunta a que podría estar enfocada en llevar a cabo ataques de fuerza bruta distribuidos contra cuentas de VPN, Telnet, SSH y Microsoft 365.
Conoce más sobre: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
¿Qué es la botnet Quad7 y cómo funciona?
Quad7, también conocida como 7777, es una botnet diseñada para infectar enrutadores domésticos, cámaras IP y otros dispositivos IoT. Su estrategia principal se basa en ataques de fuerza bruta y el uso de proxies para encubrir sus actividades. Además, ofrece a los atacantes acceso a puertas traseras en los dispositivos comprometidos, permitiéndoles realizar acciones maliciosas de forma aislada o coordinada.
Una vez que un dispositivo ha sido comprometido, los atacantes pueden controlarlo y usarlo para varias tareas, como:
- Instalar diferentes tipos de malware, incluyendo herramientas de acceso remoto como xlogin y alogin.
- Tomar el control de los dispositivos a través del puerto TCP/7777 en versiones antiguas o el puerto TCP/63256 en versiones más recientes.
- Configurar proxies SOCKS5 en los dispositivos infectados para redirigir tráfico malicioso sin ser detectados.
- Realizar ataques de fuerza bruta contra cuentas, en especial de Microsoft 365, usando los dispositivos infectados como intermediarios para ocultar el origen del ataque.
- Redirigir a los usuarios a servidores DNS manipulados por los atacantes, que pueden usarse para distribuir malware o mostrar anuncios fraudulentos.
Te podrá interesar leer: Detección de Amenazas en IoT con Wazuh
Nuevos Clústeres Apuntan a Dispositivos Zyxel y Ruckus
La botnet Quad7 se organiza en varios subgrupos, o clústeres, que están diseñados para atacar dispositivos específicos. Cada uno de estos subgrupos se identifica por un banner de bienvenida único cuando se conectan al puerto Telnet, lo que indica qué tipo de dispositivo están comprometiendo.
Por ejemplo, cuando se accede al Telnet de los dispositivos inalámbricos de Ruckus, aparece un banner con el mensaje "rlogin".
Aquí tienes una lista de los principales clústeres y sus respectivos banners:
- Xlogin: Telnet en el puerto TCP 7777, enfocado en enrutadores TP-Link.
- Alogin: Telnet en el puerto TCP 63256, dirigido a enrutadores ASUS.
- Rlogin: Telnet en el puerto TCP 63210, usado en dispositivos inalámbricos Ruckus.
- Axlogin: Banner de Telnet en dispositivos NAS de Axentra (aún no se ha detectado en acción).
- Zylogin: Telnet en el puerto TCP 3256, enfocado en dispositivos VPN Zyxel.
Algunos de estos clústeres, como "xlogin" y "alogin", ya han comprometido miles de dispositivos. Sin embargo, otros subgrupos, como "rlogin" (que apareció alrededor de junio de 2024), tienen un número mucho más limitado de infecciones, con solo 298 casos conocidos hasta el momento. El clúster "zylogin" es aún más pequeño, con solo dos dispositivos comprometidos, y el clúster "axlogin" no muestra ninguna infección activa por ahora.
Aun así, estos subgrupos están en una fase inicial y podrían evolucionar, aprovechando nuevas vulnerabilidades en dispositivos más comunes, lo que los convierte en una amenaza que no debe subestimarse.
Cambios en las Tácticas y Métodos de Comunicación
La botnet Quad7 ha mejorado considerablemente sus métodos de comunicación y tácticas, enfocándose en evitar la detección y aumentar su eficacia operativa.
Uno de los cambios más notables es el abandono gradual de los servidores proxy SOCKS, que en versiones anteriores se utilizaban para redirigir tráfico malicioso, como los intentos de fuerza bruta. En su lugar, ahora los operadores de Quad7 están usando el protocolo KCP para retransmitir ataques a través de una herramienta llamada "FsyNet", que opera mediante UDP. Esto hace que la detección y el rastreo de sus actividades sean mucho más complicados.
Además, se ha introducido una nueva puerta trasera denominada 'UPDTAE', que establece shells inversos HTTP, permitiendo a los atacantes controlar los dispositivos infectados sin necesidad de exponer interfaces de inicio de sesión o mantener abiertos puertos que podrían ser fácilmente detectados por escáneres de internet.
También se está probando un nuevo binario llamado 'netd', que utiliza el protocolo de red CJDNS, similar a una darknet. Esto sugiere que Quad7 está desarrollando métodos de comunicación aún más difíciles de detectar.
Te podrá interesar leer: Modelo OSI: Qué es, Funcionamiento, Capas y Utilidad
Para proteger tus dispositivos de posibles infecciones por botnets, asegúrate de instalar la última actualización de seguridad del firmware disponible para tu equipo. Cambia las credenciales predeterminadas por contraseñas seguras y desactiva los portales de administración web si no los necesitas.
Si tu dispositivo ya no recibe actualizaciones de seguridad, es recomendable actualizarlo a un modelo más reciente que siga recibiendo soporte. Esto es clave para mantener tu red segura frente a las amenazas en evolución.