Underc0de - La Casa de los Informáticos

Una nueva campaña de malware basada en el conocido botnet Mirai está generando preocupación en la comunidad de ciberseguridad tras confirmarse la explotación activa de la vulnerabilidad CVE-2025-29635, una falla crítica que afecta a routers D-Link DIR-823X. Esta amenaza permite a los atacantes ejecutar comandos remotos y comprometer dispositivos para integrarlos en redes de bots utilizadas en ataques distribuidos.

¿Qué es CVE-2025-29635 y por qué es tan peligrosa?

La vulnerabilidad CVE-2025-29635 es un fallo de inyección de comandos que permite la ejecución remota de código (RCE) en dispositivos vulnerables. En términos prácticos, un atacante puede enviar una solicitud HTTP POST especialmente diseñada al endpoint /goform/set_prohibiting, explotando la validación insuficiente de entradas para ejecutar comandos arbitrarios en el sistema.

Este tipo de vulnerabilidad es particularmente crítico porque no requiere acceso físico al dispositivo, y en muchos casos puede ser explotado de forma automatizada. Esto convierte a routers domésticos y empresariales en objetivos ideales para campañas masivas.

Descubrimiento y explotación activa

El equipo de respuesta a incidentes de Akamai SIRT detectó por primera vez esta campaña en marzo de 2026, a través de su red global de honeypots. Aunque la vulnerabilidad había sido revelada aproximadamente 13 meses antes por los investigadores Wang Jinshuai y Zhao Jiangting, no se había observado explotación activa hasta ahora.

Según el informe, los atacantes están utilizando solicitudes POST maliciosas para cambiar directorios en rutas escribibles del sistema, descargar scripts desde servidores externos y ejecutar cargas útiles sin intervención del usuario.

Cadena de infección: del exploit al control total

El proceso de ataque identificado sigue un patrón claro:

• Envío de una solicitud POST maliciosa al dispositivo vulnerable.
• Cambio de directorio hacia rutas con permisos de escritura.
• Descarga de un script llamado dlink.sh desde una IP remota.
• Ejecución del script que instala el malware "tuxnokill", una variante de Mirai.

Este malware es capaz de ejecutarse en múltiples arquitecturas, lo que le permite comprometer una amplia variedad de dispositivos IoT.

Capacidades del malware Mirai en esta campaña

Una vez comprometido el dispositivo, el malware despliega capacidades típicas de Mirai, incluyendo ataques de denegación de servicio distribuido (DDoS):

• Floods TCP (SYN, ACK, STOMP)
• Ataques UDP masivos
• HTTP null floods

Estas técnicas permiten a los atacantes utilizar miles de dispositivos infectados para saturar servidores, infraestructuras críticas o servicios en línea.

Expansión de la campaña: múltiples vulnerabilidades explotadas

Uno de los aspectos más preocupantes de esta campaña es que no se limita a un solo vector de ataque. El mismo actor ha sido vinculado a la explotación de otras vulnerabilidades críticas, como:

• CVE-2023-1389 en routers TP-Link
• Fallas RCE en dispositivos ZTE ZXV10 H108L

En todos los casos, se ha observado el mismo patrón: explotación remota, descarga de payload y despliegue de Mirai.

El problema del fin de vida útil (EoL)

Los routers D-Link DIR-823X afectados alcanzaron su estado de fin de vida útil (EoL) en noviembre de 2024. Esto significa que ya no reciben actualizaciones de seguridad, lo que deja a los usuarios completamente expuestos.

D-Link, como muchos fabricantes, no suele emitir parches para dispositivos fuera de soporte, incluso ante explotación activa. Esto crea un escenario crítico donde miles de dispositivos permanecen vulnerables sin posibilidad de mitigación directa mediante actualizaciones.

Riesgos reales para usuarios y empresas

El impacto de esta campaña no debe subestimarse. Los dispositivos comprometidos pueden ser utilizados para:

• Participar en ataques DDoS a gran escala
• Servir como punto de entrada a redes internas
• Espiar tráfico de red
• Ejecutar comandos maliciosos adicionales

Además, al tratarse de routers, el compromiso afecta a todos los dispositivos conectados a la red, ampliando el alcance del ataque.

Recomendaciones de seguridad: cómo protegerse

Ante la ausencia de parches oficiales, la mitigación depende completamente de buenas prácticas de seguridad:

1. Sustituir dispositivos EoL

La medida más efectiva es reemplazar routers antiguos por modelos con soporte activo y actualizaciones frecuentes.

2. Desactivar la administración remota

Si no es estrictamente necesaria, deshabilitar el acceso remoto reduce significativamente la superficie de ataque.

3. Cambiar credenciales por defecto

Las contraseñas predeterminadas son uno de los vectores más explotados. Utiliza claves fuertes y únicas.

4. Monitorizar la red

Detectar cambios inesperados en la configuración o tráfico inusual puede ayudar a identificar compromisos tempranos.

5. Segmentar la red

Separar dispositivos IoT de sistemas críticos limita el impacto en caso de infección.

Una amenaza persistente en el ecosistema IoT

La reaparición de campañas basadas en Mirai demuestra que las amenazas en el ecosistema IoT siguen evolucionando y aprovechando dispositivos desactualizados. La explotación de CVE-2025-29635 marca un punto crítico al evidenciar cómo vulnerabilidades antiguas pueden convertirse en armas activas cuando existen sistemas sin soporte.

La falta de actualizaciones en dispositivos EoL continúa siendo uno de los mayores riesgos en ciberseguridad. En este contexto, la responsabilidad recae tanto en fabricantes como en usuarios, quienes deben adoptar una postura proactiva para proteger sus redes.

La lección es clara: en un entorno donde los ataques son automatizados y masivos, mantener dispositivos actualizados ya no es una recomendación, sino una necesidad crítica.

Fuente: https://www.bleepingcomputer.com/