Ataque Masivo: Botnets Mirai y Mozi asedian servidores PHP y dispositivos IoT

Los investigadores de ciberseguridad han alertado sobre una ola creciente de ataques automatizados dirigida a servidores PHP, dispositivos IoT y puertas de enlace en la nube. Este aumento en la actividad maliciosa está siendo impulsado por botnets ampliamente conocidas como Mirai, Gafgyt y Mozi, las cuales están explotando vulnerabilidades críticas y configuraciones erróneas en infraestructuras expuestas a Internet.

Según un reciente informe de la Unidad de Investigación de Amenazas (TRU) de Qualys, estas botnets aprovechan vulnerabilidades CVE conocidas y malas configuraciones en entornos en la nube para obtener control remoto sobre los sistemas comprometidos, expandiendo sus redes de infección y potenciando ataques de gran escala.

Servidores PHP: el nuevo blanco preferido de las botnets

Los servidores PHP se han convertido en uno de los objetivos principales de los actores de amenazas debido a su uso masivo en plataformas como WordPress, Joomla y Craft CMS, que impulsan millones de sitios web en todo el mundo. Esta popularidad convierte al ecosistema PHP en una amplia superficie de ataque, especialmente cuando los administradores mantienen versiones obsoletas, plugins vulnerables o configuraciones inseguras.

Entre las vulnerabilidades más explotadas por las botnets se encuentran:

• CVE-2017-9841 – Ejecución remota de código (RCE) en PHPUnit.
• CVE-2021-3129 – Vulnerabilidad crítica RCE en Laravel.
• CVE-2022-47945 – Falla RCE en ThinkPHP Framework.

Además, Qualys reportó intentos de explotación mediante el parámetro /?XDEBUG_SESSION_START=phpstorm, que permite iniciar una sesión de depuración con Xdebug. Si esta herramienta se deja activa en entornos de producción, los atacantes pueden obtener información sensible o ejecutar código arbitrario dentro del servidor afectado.

IoT y puertas de enlace en la nube: una tormenta perfecta

Las botnets modernas no se limitan a servidores web; ahora apuntan también a dispositivos IoT y a infraestructuras en la nube. Los atacantes buscan credenciales débiles, claves API o tokens de acceso expuestos para tomar el control total del sistema.

Entre las vulnerabilidades activamente explotadas se incluyen:

• CVE-2022-22947 – Ejecución remota de código en Spring Cloud Gateway.
• CVE-2024-3721 – Inyección de comandos en TBK DVR-4104 y DVR-4216.
• Configuraciones inseguras en MVPower TV-7104HE DVR, que permiten ejecución remota de comandos mediante solicitudes HTTP GET.

La actividad de escaneo y explotación suele originarse desde infraestructuras en la nube legítimas como AWS, Google Cloud, Microsoft Azure, Digital Ocean y Akamai Cloud. Esto dificulta su detección, ya que los atacantes se camuflan entre el tráfico normal de servicios reconocidos, ocultando sus verdaderos orígenes.

Amenazas en evolución: botnets más poderosas y accesibles

Los expertos de Qualys advierten que hoy en día no se necesita un alto nivel de sofisticación para lanzar ataques efectivos. Las herramientas de explotación, frameworks de botnets y kits de escaneo están ampliamente disponibles en foros clandestinos, permitiendo que incluso actores de bajo perfil causen daños significativos a gran escala.

Además, las botnets están evolucionando más allá de los ataques DDoS tradicionales. Según James Maude, CTO de campo de BeyondTrust, las redes de bots ahora también se utilizan para relleno de credenciales, secuestro de sesiones, evasión de geolocalización y robo de identidad digital.

Citar"Tener acceso a miles de routers comprometidos permite lanzar ataques de contraseñas a gran escala o suplantar inicios de sesión desde ubicaciones cercanas a la víctima, evadiendo detecciones por comportamiento anómalo", explicó Maude.

AISURU: la nueva generación de botnets "TurboMirai"

La empresa NETSCOUT ha clasificado recientemente la botnet AISURU como una variante avanzada de la familia Mirai, con capacidad para lanzar ataques DDoS superiores a los 20 terabits por segundo (Tbps).

AISURU emplea una red global de enrutadores domésticos, sistemas de CCTV, DVRs y equipos CPE (Customer Premises Equipment), que actúan como nodos intermedios para ataques masivos de denegación de servicio, spam, phishing y scraping automatizado impulsado por IA.

Lo más preocupante es que AISURU integra un servicio de proxy residencial, permitiendo a los atacantes enmascarar sus conexiones y mezclarse con el tráfico legítimo. Esto convierte a las botnets en una herramienta multifuncional para campañas ilícitas, robo de datos y manipulación de tráfico.
El periodista de seguridad Brian Krebs ha confirmado un crecimiento exponencial en los servicios de proxy residencial durante los últimos seis meses, correlacionado con el aumento de actividad de estas botnets.

Medidas de protección recomendadas

Para mitigar los riesgos asociados a estos ataques, Qualys y BeyondTrust recomiendan adoptar las siguientes prácticas esenciales:

• Actualizar regularmente todos los sistemas y frameworks PHP.
• Desactivar herramientas de depuración (como Xdebug) en entornos de producción.
• Usar gestores de secretos seguros, como AWS Secrets Manager o HashiCorp Vault.
• Restringir el acceso público a servidores y recursos en la nube.
• Implementar autenticación multifactor (MFA) y políticas de contraseñas robustas.
• Monitorear continuamente el tráfico saliente y las conexiones anómalas.

En fin...

Las botnets Mirai, Gafgyt y Mozi están redefiniendo el panorama del cibercrimen. Su capacidad para automatizar ataques, explotar vulnerabilidades conocidas y camuflarse en la nube convierte a esta amenaza en una de las más críticas del ecosistema digital actual.
El refuerzo de la seguridad en servidores PHP, dispositivos IoT y entornos en la nube no solo es una medida preventiva, sino una necesidad urgente para proteger la infraestructura global frente a una nueva era de ataques distribuidos y automatizados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login