ViciousTrap: Nueva amenaza compromete miles de routers Cisco

Un grupo de investigadores de ciberseguridad ha revelado que un actor de amenazas, identificado como ViciousTrap, ha comprometido cerca de 5.300 dispositivos de red perimetral en 84 países, convirtiéndolos en parte de una red de honeypots maliciosa. La mayoría de los dispositivos infectados se encuentran en Macao, con más de 850 routers afectados.

Vulnerabilidad CVE-2023-20118: el punto de entrada

El actor de amenazas está explotando la vulnerabilidad crítica CVE-2023-20118, que afecta a varios modelos de routers Cisco Small Business, entre ellos:

• RV016
• RV042
• RV042G
• RV082
• RV320
• RV325

Esta falla permite la ejecución remota de comandos no autorizados, lo que ha facilitado el secuestro masivo de dispositivos y su incorporación a una red controlada por el atacante.

NetGhost: el script malicioso detrás de la operación

Según un análisis publicado por Sekoia, la cadena de infección comienza con la ejecución de un script de shell denominado NetGhost, diseñado para redirigir el tráfico entrante desde puertos específicos del router comprometido hacia una infraestructura controlada por el atacante. Esto permite a ViciousTrap interceptar y analizar el tráfico, simulando un entorno tipo honeypot.

Citar"El mecanismo de redireccionamiento posiciona efectivamente al atacante como un observador silencioso, capaz de recopilar intentos de explotación y accesos a web shells en tránsito", explicaron los investigadores Felix Aimé y Jeremy Scion.

ViciousTrap vs PolarEdge: ¿dos campañas relacionadas?

Aunque previamente la explotación de la CVE-2023-20118 se atribuyó a otra botnet conocida como PolarEdge, los analistas de Sekoia no han encontrado evidencia concluyente que vincule ambas operaciones. Sin embargo, se han detectado indicios de reutilización de código, incluyendo un web shell no documentado empleado en ataques anteriores por PolarEdge.

Ampliando el alcance: más de 50 marcas afectadas

ViciousTrap no se limita a routers Cisco. Se cree que el grupo está atacando una amplia gama de dispositivos orientados a Internet, entre ellos:

• Routers SOHO
• Sistemas VPN SSL
• Grabadoras de video digital (DVR)
• Controladores BMC

Entre las marcas objetivo se incluyen ASUS, D-Link, Linksys, QNAP y Araknis Networks, lo que sugiere un esfuerzo coordinado para recopilar información sobre herramientas de explotación y potencialmente capturar vulnerabilidades de día cero (0-day).

Proceso detallado de infección

Explotación inicial: uso de CVE-2023-20118 para ejecutar un script bash mediante ftpget.

• Descarga del binario wget desde un servidor externo.
• Segunda explotación de la vulnerabilidad, esta vez para ejecutar un nuevo script descargado con wget.
• Ejecución de NetGhost, que redirige el tráfico de red y borra su rastro del sistema comprometido.

Este proceso permite al atacante realizar ataques tipo adversario en el medio (AitM) y mantener un bajo perfil, dificultando su detección.

Origen y atribución geográfica

Los intentos de explotación iniciales se remontan a marzo de 2025 y provienen de la dirección IP 101.99.91[.]151, ubicada en Malasia y registrada bajo el Sistema Autónomo AS45839, operado por Shinjiru, un proveedor de hosting. En mayo de 2025, se detectaron nuevos ataques desde otra IP (101.99.91[.]239), esta vez dirigidos a routers ASUS.

Aunque no se han configurado honeypots en esos dispositivos adicionales, el patrón sugiere un intento por expandir la infraestructura de vigilancia y recopilación de datos. Sekoia apunta a un posible origen chino para ViciousTrap, basándose en similitudes con la infraestructura GobRAT y en el hecho de que el tráfico interceptado se redirige a activos en Taiwán y Estados Unidos.

Objetivo incierto, impacto potencial alto

Aunque el objetivo final de ViciousTrap sigue sin estar claro, los investigadores concluyen con alta confianza que se trata de una red global de honeypots maliciosos. Esta infraestructura podría usarse para:

• Espionaje cibernético
• Recolección de exploits desconocidos
• Análisis de tácticas de otros grupos de amenazas
• Desarrollo de nuevos ataques dirigidos

Recomendaciones para prevenir la explotación de CVE-2023-20118

• Actualizar el firmware de los routers Cisco Small Business y otros dispositivos orientados a Internet.
• Deshabilitar el acceso remoto si no es estrictamente necesario.
• Implementar soluciones de detección de intrusos (IDS) y firewalls avanzados.
• Supervisar los logs de red para identificar comportamientos inusuales o comandos ejecutados sin autorización.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta