Se ha detectado un nuevo botnet basado en Mirai, conocido como ShadowV2, que está infectando dispositivos IoT de marcas como D-Link, TP-Link y otros fabricantes aprovechando vulnerabilidades ya conocidas.
Según los investigadores de Fortinet, esta actividad coincidió con la gran caída de AWS en octubre. Aunque no hay evidencia de que ambos eventos estén relacionados, lo llamativo es que la botnet solo estuvo activa durante la interrupción, lo que sugiere que los atacantes aprovecharon ese momento de caos como una especie de “prueba en vivo”.
En TecnetOne siempre estamos atentos a estas nuevas amenazas para anticiparnos, entender cómo evolucionan y reforzar la seguridad de nuestros clientes.
ShadowV2 se ha estado propagando explotando al menos ocho vulnerabilidades distintas en varios dispositivos IoT. Entre los equipos afectados se encuentran productos de fabricantes como DD-WRT, D-Link, DigiEver, TBK y TP-Link, con fallas que van desde problemas antiguos hasta vulnerabilidades recién documentadas.
Algunas de las más relevantes incluyen:
DD-WRT – CVE-2009-2765
D-Link – CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915
DigiEver – CVE-2023-52163
TBK – CVE-2024-3721
TP-Link – CVE-2024-53375
Entre todas, una de las más preocupantes es CVE-2024-10914, una vulnerabilidad de inyección de comandos que afecta a dispositivos D-Link que ya están en fin de vida. El propio fabricante confirmó que esos modelos no recibirán parches, por lo que la falla permanecerá abierta indefinidamente.
Algo similar ocurre con CVE-2024-10915. Aunque la vulnerabilidad fue documentada a finales de 2024, tampoco tendrá correcciones para los equipos afectados. Como medida informativa, D-Link actualizó un boletín antiguo para incluir este CVE y publicó otro más reciente donde advierte que los dispositivos que ya no tienen soporte no recibirán actualizaciones de firmware, por lo que siguen siendo un blanco fácil para campañas como ShadowV2.
En contraste, CVE-2024-53375, presente en algunos modelos de TP-Link, sí recibió atención del fabricante y fue corregida mediante una actualización de firmware en fase beta.
Diversos exploits utilizados por ShadowV2 (Fuente: Fortinet)
Podría interesarte leer: ShadowPad Explota Una Vulnerabilidad en WSUS
Según los investigadores de FortiGuard Labs, los ataques de ShadowV2 se originaron desde la dirección 198[.]199[.]72[.]27 y tuvieron como objetivo enrutadores, dispositivos NAS y DVR utilizados en siete sectores diferentes, entre ellos gobierno, tecnología, manufactura, MSSP, telecomunicaciones y educación.
El alcance fue totalmente global. Se registraron intentos de ataque en prácticamente todas las regiones: América del Norte y del Sur, Europa, África, Asia e incluso Australia.
El impacto global de la botnet (Fuente: Fortinet)
El malware se presenta como "ShadowV2 Build v1.0.0 versión IoT", y según los investigadores comparte muchas similitudes con la variante Mirai LZRD.
La infección comienza cuando el dispositivo vulnerable ejecuta una etapa inicial mediante un script de descarga (binary.sh), que obtiene el archivo malicioso desde un servidor alojado en 81[.]88[.]18[.]108.
Una vez dentro, ShadowV2 utiliza una configuración codificada con XOR para ocultar rutas del sistema, cadenas de user-agent, encabezados HTTP y otros elementos típicos de Mirai. Esto le ayuda a evadir detecciones y mantenerse activo sin levantar sospechas.
En cuanto a sus capacidades, el malware puede lanzar ataques DDoS a través de protocolos UDP, TCP y HTTP, ofreciendo distintos tipos de inundación en cada uno. La infraestructura de comando y control (C2) es la que coordina todo, enviando instrucciones directas a los bots para iniciar los ataques cuando lo deseen.
Desencadenante de ataques DDoS (Fuente: Fortinet)
Las botnets DDoS suelen ganar dinero de dos maneras: alquilando su potencia de ataque a otros ciberdelincuentes o extorsionando directamente a sus víctimas con la clásica amenaza de “paga o seguimos atacando”. Sin embargo, en el caso de ShadowV2 todavía no está claro quién está detrás ni cuál es su modelo de monetización, lo que añade un toque extra de incertidumbre a la amenaza.
En los análisis recientes sobre esta campaña se han compartido indicadores de compromiso (IoC) para facilitar su detección, junto con una recomendación clave: mantener siempre el firmware actualizado en los dispositivos IoT, especialmente aquellos que ya no reciben soporte o están próximos a su fin de vida.