Los investigadores de ciberseguridad han descubierto una botnet nunca antes vista que comprende un ejército de dispositivos de IoT y de pequeñas oficinas/oficinas domésticas (SOHO) que probablemente estén operados por un actor de amenazas de un estado-nación chino llamado Flax Typhoon (también conocido como Ethereal Panda o RedJuliett). Se cree que la sofisticada botnet, bautizada Raptor Train por Black Lotus Labs de Lumen, ha estado operativa desde al menos mayo de 2020, alcanzando un pico de 60.000 dispositivos comprometidos activamente en junio de 2023. «Desde entonces, ha habido más de 200.000 enrutadores SOHO, dispositivos NVR/DVR, servidores de almacenamiento conectados a la red (NAS) y cámaras IP; todos reclutados en la botnet Raptor Train, lo que la convierte en una de las botnets de IoT patrocinadas por el estado chino más grandes descubiertas hasta la fecha», dijo la empresa de ciberseguridad en un informe de 81 páginas compartido con The Hacker News. Se estima que la infraestructura que impulsa la botnet ha atrapado a cientos de miles de dispositivos desde su formación, y la red está impulsada por una arquitectura de tres niveles que consta de lo siguiente: Nivel 1: dispositivos SOHO/IoT comprometidos Nivel 2: servidores de explotación, servidores de carga útil y servidores de comando y control (C2) Nivel 3: nodos de administración centralizados y una interfaz de aplicación Electron multiplataforma conocida como Sparrow (también conocida como Node Comprehensive Control Tool o NCCT) La forma en que funciona es que las tareas de bot se inician desde los nodos de administración de nivel 3 «Sparrow», que luego se enrutan a través de los servidores C2 de nivel 2 apropiados y, posteriormente, se envían a los propios bots en el nivel 1, que constituye una gran parte de la botnet. Algunos de los dispositivos atacados incluyen enrutadores, cámaras IP, DVR y NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel. La mayoría de los nodos de nivel 1 han sido geolocalizados en EE. UU., Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Cada uno de estos nodos tiene una vida útil promedio de 17,44 días, lo que indica la capacidad del actor de la amenaza para volver a infectar los dispositivos a voluntad. «En la mayoría de los casos, los operadores no incorporaron un mecanismo de persistencia que sobreviva a un reinicio», señaló Lumen. «La confianza en la reexplotabilidad proviene de la combinación de una amplia gama de exploits disponibles para una amplia gama de dispositivos SOHO e IoT vulnerables y una enorme cantidad de dispositivos vulnerables en Internet, lo que le da a Raptor Train una especie de persistencia ‘inherente'». Los nodos están infectados por un implante en memoria rastreado como Nosedive, una variante personalizada de la botnet Mirai, a través de servidores de carga útil de nivel 2 configurados explícitamente para este propósito. El binario ELF viene con capacidades para ejecutar comandos, cargar y descargar archivos y montar ataques DDoS. Los nodos de nivel 2, por otro lado, rotan aproximadamente cada 75 días y están ubicados principalmente en los EE. UU., Singapur, el Reino Unido, Japón y Corea del Sur. El número de nodos C2 ha aumentado de aproximadamente 1 a 5 entre 2020 y 2022 a no menos de 60 entre junio de 2024 y agosto de 2024. Estos nodos son flexibles en el sentido de que también actúan como servidores de explotación para cooptar nuevos dispositivos en la botnet, servidores de carga útil e incluso facilitar el reconocimiento de entidades objetivo. Al menos cuatro campañas diferentes se han vinculado a la botnet en constante evolución Raptor Train desde mediados de 2020, cada una de las cuales se distingue por los dominios raíz utilizados y los dispositivos atacados: Crossbill (de mayo de 2020 a abril de 2022): uso del dominio raíz C2 k3121.com y subdominios asociados Finch (de julio de 2022 a junio de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados Canary (de mayo de 2023 a agosto de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados, mientras se basa en cuentagotas de varias etapas Oriole (de junio de 2023 a septiembre de 2024): uso del dominio raíz C2 w8510.com y subdominios C2 asociados La campaña Canary, que tuvo como objetivo principal los módems ActionTec PK5000, las cámaras IP Hikvision, Los NVR de Shenzhen TVT y los enrutadores ASUS se destacan por emplear una cadena de infección de múltiples capas propia para descargar un script bash de primera etapa, que se conecta a un servidor de carga útil de nivel 2 para recuperar Nosedive y un script bash de segunda etapa. El nuevo script bash, a su vez, intenta descargar y ejecutar un script bash de tercera etapa desde el servidor de carga útil cada 60 minutos. «De hecho, el dominio C2 w8510.com para [the Oriole] «La campaña se volvió tan prominente entre los dispositivos IoT comprometidos que, para el 3 de junio de 2024, se incluyó en las clasificaciones de dominios de Cisco Umbrella», dijo Lumen. «Al menos el 7 de agosto de 2024, también se incluyó en el millón de dominios principales de Cloudflare Radar. Este es un hecho preocupante porque los dominios que están en estas listas de popularidad a menudo eluden las herramientas de seguridad a través de la lista blanca de dominios, lo que les permite crecer y mantener el acceso y evitar aún más la detección». Hasta la fecha no se han detectado ataques DDoS que emanen de la botnet, aunque la evidencia muestra que se ha utilizado como arma para atacar a entidades estadounidenses y taiwanesas en los sectores militar, gubernamental, de educación superior, de telecomunicaciones, de base industrial de defensa (DIB) y de tecnología de la información (TI). Es más, los bots enredados en Raptor Train probablemente hayan llevado a cabo posibles intentos de explotación contra servidores Atlassian Confluence y dispositivos Ivanti Connect Secure (ICS) en las mismas verticales, lo que sugiere esfuerzos de escaneo generalizados. Los vínculos con Flax Typhoon, un equipo de piratas informáticos con un historial de atacar a entidades en Taiwán, el sudeste asiático, América del Norte y África, provienen de superposiciones en la huella de victimología, el uso del idioma chino y otras similitudes tácticas. «Este es un sistema de control robusto de nivel empresarial que se utiliza para administrar más de 60 servidores C2 y sus nodos infectados en un momento dado», dijo Lumen. «Este servicio permite un conjunto completo de actividades, incluida la explotación escalable de bots, la gestión de vulnerabilidades y exploits, la gestión remota de la infraestructura C2, las cargas y descargas de archivos, la ejecución remota de comandos y la capacidad de adaptar los ataques distribuidos de denegación de servicio (DDoS) basados ​​en IoT a escala». El FBI desmantela la enorme botnet Flax Typhoon El Departamento de Justicia de Estados Unidos (DoJ) anunció el miércoles el desmantelamiento de la botnet Raptor Train de conformidad con una operación policial autorizada por el tribunal. También atribuyó el actor de la amenaza Flax Typhoon a una empresa que cotiza en bolsa y tiene su sede en Pekín conocida como Integrity Technology Group. «El malware conectó estos miles de dispositivos infectados a una botnet, controlada por Integrity Technology Group, que se utilizó para realizar una actividad cibernética maliciosa disfrazada de tráfico de Internet rutinario desde los dispositivos de consumo infectados», dijo el DoJ. Dispositivos de botnet por país La operación vio la infraestructura de los atacantes confiscada para emitir comandos de desactivación al malware en los dispositivos infectados, a pesar de los esfuerzos infructuosos realizados por los actores de la amenaza para interferir con la acción de remediación a través de un ataque DDoS dirigido a los servidores que la Oficina Federal de Investigaciones (FBI) estaba utilizando para ejecutar la orden judicial. «La empresa creó una aplicación en línea que permite a sus clientes iniciar sesión y controlar dispositivos de víctimas infectadas específicos, incluido un menú de comandos cibernéticos maliciosos utilizando una herramienta llamada ‘vulnerability-arsenal'», dijo el DoJ. «La aplicación en línea estaba etiquetada de forma destacada como ‘KRLab’, una de las principales marcas públicas utilizadas por Integrity Technology Group». La botnet constaba de más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte (135.300), Europa (65.600), Asia (50.400), África (9.200), Oceanía (2.400) y América del Sur (800). En total, se han identificado más de 1,2 millones de registros de dispositivos comprometidos en una base de datos MySQL alojada en un servidor de gestión de nivel 3 utilizado para administrar y controlar la botnet y los servidores C2 mediante la aplicación Sparrow. Sparrow también contiene un módulo para explotar redes informáticas a través de un arsenal de fallos conocidos y de día cero. Las botnets como KV-Botnet y Raptor Train son proxies ideales, ya que los actores de amenazas pueden abusar de ellas para ocultar sus identidades mientras organizan ataques DDoS o comprometen redes específicas. También tienden a evadir las defensas de seguridad de la red, dado que la actividad maliciosa se origina en direcciones IP con buena reputación. «El gobierno chino seguirá apuntando a sus organizaciones y nuestra infraestructura crítica, ya sea por su propia mano o de forma oculta a través de sus proxies», dijo el director del FBI, Christopher Wray, llamando a Integrity Technology Group por llevar a cabo la recopilación de inteligencia y el reconocimiento para las agencias de seguridad del gobierno chino. «Finalmente, como parte de esta operación, pudimos identificar miles de dispositivos infectados y, luego, con autorización judicial, emitimos órdenes para eliminar el malware de ellos, arrancándolos del control de China». (La historia se actualizó después de la publicación para incluir detalles de la eliminación respaldada por las fuerzas de seguridad). ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.