Después de que la botnet Mozi desapareciera misteriosamente el año pasado, una nueva botnet aparentemente más poderosa, Androxgh0st, resurgió de sus cenizas y rápidamente se convirtió en una gran amenaza para la infraestructura crítica.
En diciembre, al menos un taller de seguridad sospecha que el gobierno chino está utilizando la nueva botnet híbrida como arma.
«Basándonos en la información disponible, podemos determinar con poca confianza que la botnet Androxgh0st está siendo operada por actores de amenazas chinos impulsados por intereses similares a los del Estado chino», dijo el investigador de CloudSEK, Koushik Pal. El Registro.
Mientras tanto, Check Point calificó a Androxgh0st como el malware más frecuente a nivel mundial, y dijo que afectó al 5 por ciento de las organizaciones en todo el mundo durante noviembre.
Las capacidades adicionales de Mozi permiten a Androxgh0st controlar una gama mucho más amplia de objetivos que a principios de año, y «estos ataques crean efectos en cascada en todas las industrias, destacando los grandes riesgos para los gobiernos, las empresas y las personas que dependen de estas infraestructuras». » según el informe de malware más buscado de Check Point.
Botnets, uno de los favoritos de Atacantes respaldados por Beijingson especialmente insidiosos, y la capacidad de este para apuntar tanto a servidores web como a dispositivos IoT amplía su alcance. Después de explotar una vulnerabilidad para implementar una carga útil en el dispositivo víctima, ese dispositivo pasa a formar parte de la botnet, que luego puede usarse para ingresar a otras redes críticas, realizar ataques DDoS a gran escala y realizar operaciones de vigilancia masiva y robo de datos.
El malware se dirige a sistemas Windows, Mac y Linux y no muestra signos de desaceleración en 2025.
«La integración de las capacidades de Mozi dentro de Androxgh0st significa que veremos un aumento en las explotaciones masivas», dijo Pal. «Podemos esperar que Androxgh0st explote al menos entre un 75 y un 100 por ciento más vulnerabilidades de aplicaciones web para mediados de 2025 de las que explota ahora».
Del interruptor automático a la doble amenaza
CloudSEK estuvo entre los primeros equipos de caza de amenazas en detectar la integración con Mozi, lo que fue una sorpresa para los observadores de seguridad de la información después de que alguien (sospechoso de ser la policía china o el creador de la botnet) activó el interruptor de apagado en Mozi en agosto de 2023.
En su apogeo, Mozi, que surgió en 2019, representó alrededor del 90 por ciento del tráfico malicioso de la red de IoT a nivel mundial, explotando vulnerabilidades en cientos de miles de dispositivos conectados cada año.
«A mediados de 2024, comenzamos a notar cargas útiles que formaban parte de la cadena de explotación de Androxgh0st con cargas útiles de Mozi dirigidas a enrutadores TP-Link», dijo Pal. «Es curioso, los actores de amenazas habían cambiado el nombre de la carga útil a ‘tplink0day’ en algunos casos, pero nuestra investigación reveló que se trataba de un exploit de firmware de hace una década».
En noviembre, Androxgh0st estaba explotando vulnerabilidades en docenas de tecnologías, incluidas VPN, firewalls, enrutadores y aplicaciones web, para infectar cientos de miles de plataformas. Estos incluyen Cisco ASA, Atlassian JIRA, Sophos Firewalls, Spring Cloud Gateways, marcos PHP y varios dispositivos IoT.
«Mozi hace que su botnet sea mucho, mucho más grande», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point. El Registro.
«Les permite no apuntar sólo a servidores específicos y extraer archivos específicos, sino que ahora tienen la opción de apuntar a cualquier enrutador, cámara y todos los dispositivos que estén extremadamente desprotegidos. Los dispositivos IoT son una de las cosas más fáciles de atacar», afirmó. anotado.
El Tío Sam hace sonar la alarma de Androxgh0st
El FBI y CISA primero sonó la alarma en Androxgh0st en enero. En ese momento, los federales dijeron que la botnet de robo de credenciales en la nube estaba utilizando principalmente tres CVE antiguos y parcheados hace mucho tiempo para obtener acceso inicial.
«Androxgh0st originalmente tenía una habilidad muy específica», dijo Shykevich. «Apuntó a servidores web e intentó extraer archivos de datos confidenciales».
Específicamente, el malware con secuencia de comandos Python buscaría archivos (.)env que contengan credenciales de usuario para AWS, Microsoft Office 365, SendGrid y Twilio. Además de escanear y recopilar credenciales, también podría implementar webshells en servidores comprometidos.
«Este fue un vector de ataque y fue muy útil. Permitió a los operadores obtener credenciales para diferentes recursos», dijo Shykevich.
En agosto, CloudSEK comenzó a ver que los operadores de malware también implementaban cargas útiles de Mozi centradas en IoT, y las tasas de infección han aumentado desde entonces. «Hay una división de casi 30-70 entre dispositivos IoT y aplicaciones web», a principios de diciembre, dijo Pal.
Entre enero y agosto, el número de CVE explotados por Androxgh0st se disparó.
«Hemos visto un fuerte aumento -alrededor del 100 por ciento- en el número de vulnerabilidades explotadas por Androxgh0st, lo que indica que el grupo de amenazas está más centrado en convertir en armas algunos de los exploits más nuevos en la naturaleza», dijo.
La tienda de seguridad informó inicialmente sus hallazgos de Androxgh0st en noviembre, documentando 11 vulnerabilidades que los delincuentes explotaron para obtener acceso inicial. en un Actualización de diciembre según la investigación, señaló CloudSEK 27.
Desde que publicaron su informe inicial sobre la botnet híbrida, los cazadores de amenazas también documentaron un aumento en la tecnología de ataque Androxgh0st que se utiliza principalmente en China.
«Hemos observado que los actores de amenazas que operaban la botnet habían atacado un hospital de Hong Kong en julio de 2023, lo que coincide con la victimología de las APT chinas como APT41 y Tonto Team», según el informe, que vincula el aumento en los ataques de Androxgh0st a un aumento de los esfuerzos de vigilancia masiva por parte del gobierno chino.
«Como hemos visto en las filtraciones de i-soon, el mercado de APT está repleto de muchas empresas privadas diferentes que pueden proporcionar ‘servicios de pentesting y red teaming‘ al estado para ayudar a sus intereses», dijo Pal. «Estamos observando una tendencia en la que los actores de amenazas actualizan periódicamente su arsenal con los exploits más recientes que pueden explotarse fácilmente».
