Nueva Botnet Ballista Explota la Vulnerabilidad CVE-2023-1389 en Routers TP-Link

Los routers TP-Link Archer sin parches se han convertido en el objetivo de una nueva campaña de botnets denominada Ballista, según un informe del equipo de Cato CTRL.

Exploit en TP-Link Archer: CVE-2023-1389 y su Impacto

La botnet Ballista explota la vulnerabilidad de ejecución remota de código (RCE) CVE-2023-1389, un fallo crítico que afecta a los routers TP-Link Archer AX-21. Esta vulnerabilidad permite la inyección de comandos, facilitando la ejecución de código malicioso en los dispositivos comprometidos.

Desde abril de 2023, actores maliciosos han explotado esta falla para desplegar el malware de la botnet Mirai y otras variantes como Condi y AndroxGh0st.

Cronología del Ataque de Ballista

El equipo de Cato CTRL detectó la campaña de Ballista el 10 de enero de 2025, con intentos de explotación recientes registrados hasta el 17 de febrero.

La botnet se propaga mediante un dropper de malware llamado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, un script de shell diseñado para descargar y ejecutar un binario malicioso en arquitecturas como mips, mipsel, armv5l, armv7l y x86_64.

Una vez instalado, el malware establece un canal de comando y control (C2) cifrado en el puerto 82, permitiendo a los atacantes ejecutar comandos de shell, realizar ataques de denegación de servicio (DoS) y acceder a archivos sensibles en el sistema infectado.

Funciones Clave del Malware Ballista

Ballista admite varios comandos maliciosos, entre ellos:

• flooder: desencadena un ataque de inundación.
• exploiter: explota la vulnerabilidad CVE-2023-1389.
• start: inicia el módulo del exploit.
• close: detiene la activación del módulo.
• shell: ejecuta comandos de Linux en el sistema comprometido.
• killall: finaliza procesos en ejecución.

Además, Ballista elimina instancias previas de sí misma y borra su rastro tras la ejecución, evitando detecciones. También intenta propagarse a otros routers TP-Link Archer mediante la explotación de la misma vulnerabilidad.

Origen y Distribución de la Botnet Ballista

El análisis del C2 (2.237.57[.]70) y la presencia de cadenas de idioma italiano en los binarios sugieren que el ataque podría estar vinculado a un grupo de cibercriminales italianos.

Ballista sigue en desarrollo activo. Recientemente, los atacantes han cambiado la dirección IP del C2 por dominios en la red TOR, dificultando su rastreo.

Según datos de Censys, más de 6.000 dispositivos están actualmente infectados, con focos en Brasil, Polonia, Reino Unido, Bulgaria y Turquía. También se ha identificado actividad en sectores como manufactura, salud, tecnología y servicios en EE.UU., Australia, China y México.

En fin, aunque Ballista comparte similitudes con botnets conocidas como Mirai y Mozi, presenta características únicas que la diferencian de las amenazas tradicionales.

Para prevenir infecciones, se recomienda actualizar los routers TP-Link Archer, aplicar parches de seguridad y monitorear la actividad de red para detectar conexiones sospechosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta