Los investigadores han identificado un aumento significativo en las actividades de escaneo HTTP maliciosas que se originan en aproximadamente 2.200 enrutadores de pequeñas empresas comprometidas en múltiples proveedores.
La campaña, que comenzó a subir el 30 de julio de 2025, se dirige principalmente a la serie Cisco Small Business RV, la serie Linksys LRT y los dispositivos ARAKNIS NETWORS AN-300-RT-4L2W, lo que indica una operación de botNE Coordinada que explota vulnerabilidades conocidas en estos dispositivos de red.
La infraestructura de ataque demuestra capacidades sofisticadas de comando y control (C2), con dispositivos comprometidos armados para realizar actividades de reconocimiento contra posibles objetivos.
Control de llave
1. 2,200 Cisco RV/Linksys LRT/Routers Araknis Comprometidos desde el 30 de julio.
2. Escaneo HTTP en los puertos 80/443/8080/8443 para el reconocimiento de destino.
3. Actualizar firmware, cambiar las credenciales, monitorear el tráfico de salida.
Los datos de telemetría de la red revelan que Estados Unidos lidera en dispositivos afectados, aunque la campaña ha logrado un alcance global con infecciones significativas reportadas en múltiples países, incluidos Canadá, Brasil, India y varias naciones europeas.
Dispositivos afectados
Análisis de ataque de botnet
El análisis de los patrones de ataque muestra que los operadores de botnet están aprovechando los enrutadores comprometidos para realizar solicitudes HTTP GET y actividades de escaneo de puertos contra la infraestructura de honeypot.
La distribución geográfica sigue un patrón consistente con la penetración del mercado de los modelos de dispositivos específicos, con la mayor concentración de tráfico malicioso que se origina en los rangos de dirección IP asociados con pequeñas y medianas empresas.
El comportamiento de escaneo exhibe características de las operaciones de descubrimiento de vulnerabilidad, lo que sugiere que los dispositivos comprometidos se están utilizando para identificar objetivos potenciales para el movimiento lateral o la exfiltración de datos.
Los investigadores de seguridad han observado cadenas específicas de agentes de usuario y patrones de encabezado HTTP que indican que se están implementando herramientas de escaneo automatizadas en la infraestructura de Botnet.
Los defensores de la red deben monitorear los patrones de tráfico de salida anómalos de los enrutadores de la serie Cisco RV (modelos que incluyen RV042, RV082, RV320, RV325), dispositivos de la serie LinkSys LRT y equipos de redes Araknis.
Patrones de tráfico de Cisco
Los datos de honeypot de la Fundación Shadowserver indican actividades de escaneo dirigidas a los puertos TCP 80, 443, 8080 y 8443, con un enfoque particular en los puntos finales de aplicaciones web vulnerables a la explotación.
Las organizaciones que operan modelos de dispositivos afectados deben implementar inmediatamente actualizaciones de firmware, cambiar las credenciales administrativas predeterminadas e implementar la segmentación de red para limitar el posible movimiento lateral.
Se aconseja a los equipos de seguridad que correlacionen los registros de redes internos con los alimentos de reputación de IP de Shadowserver y configure los sistemas de detección de intrusos (ID) para alertar sobre actividades de escaneo de salida sospechosas originadas de dispositivos de infraestructura de red.
La campaña en curso subraya la importancia crítica de la higiene de seguridad de IoT y la gestión de vulnerabilidad proactiva para los componentes de infraestructura de red que a menudo permanecen sin parpadear y mal monitoreados en entornos empresariales.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
