Los actores de amenazas están explotando fallas de seguridad en TBK DVR y enrutadores Wi-Fi TP-Link al final de su vida útil (EoL) para implementar variantes de Mirai-botnet en dispositivos comprometidos, según los hallazgos de Fortinet FortiGuard Labs y Palo Parada Networks Unit 42.
Se ha descubierto que el ataque dirigido a dispositivos TBK DVR explota CVE-2024-3721 (puntuación CVSS: 6,3), una vulnerabilidad de inyección de comandos de solemnidad media que afecta a los dispositivos de impresión de vídeo digital TBK DVR-4104 y DVR-4216, para ofrecer una transformación de Mirai señal Nexcorio.
“Los dispositivos IoT son cada vez más objetivos principales para ataques a gran escalera adecuado a su uso generalizado, yerro de parches y, a menudo, configuraciones de seguridad débiles”, dijo el investigador de seguridad Vincent Li. “Los actores de amenazas continúan explotando vulnerabilidades conocidas para obtener comunicación auténtico e implementar malware que puede persistir, propagarse y causar ataques distribuidos de denegación de servicio (DDoS)”.
Esta no es la primera vez que se explota la vulnerabilidad en la naturaleza. Durante el año pasado, el problema de seguridad se aprovechó para implementar una transformación de Mirai, así como una botnet distinta y relativamente nueva señal RondoDox. En septiembre de 2025, CloudSEK además reveló detalles de una botnet de cargador como servicio a gran escalera que ha estado distribuyendo cargas efectos de RondoDox, Mirai y Morte a través de credenciales débiles y fallas antiguas en enrutadores, dispositivos de IoT y aplicaciones empresariales.
La actividad de ataque descrita por Fortinet implica la explotación de CVE-2024-3721 para obtener y soltar un script de descarga, que luego pica la carga útil de la botnet basada en la construcción del sistema Linux. Una vez que se ejecuta el malware, muestra un mensaje que dice “nexuscorp ha tomado el control”.
“Nexcorium tiene una construcción similar a la transformación Mirai, incluida la inicialización de la tabla de configuración codificada XOR, el módulo de vigilancia y el módulo de ataque DDoS”, dijo el proveedor de seguridad.
El malware además incluye un exploit para CVE-2017-17215 para apuntar a dispositivos Huawei HG532 en la red e incorpora una serie de nombres de becario y contraseñas codificados para usar en ataques de fuerza bruta dirigidos a los hosts de la víctima al inaugurar una conexión Telnet.
Si el inicio de sesión Telnet es exitoso, intenta obtener un shell, configurar la persistencia usando crontab y el servicio systemd, y conectarse a un servidor foráneo para esperar comandos para difundir ataques DDoS a través de UDP, TCP y SMTP. Una vez que se establece la persistencia en el dispositivo, el malware elimina el binario descargado diferente para evitar el examen.
“El malware Nexcorium muestra rasgos típicos de las botnets modernas centradas en IoT, combinando explotación de vulnerabilidades, soporte para múltiples arquitecturas y varios métodos de persistencia para prolongar el comunicación a espléndido plazo a los sistemas infectados”, dijo Fortinet. “Su uso de exploits conocidos, como CVE-2017-17215, inmediato con amplias capacidades de fuerza bruta, subraya su adaptabilidad y efectividad para aumentar el zona de influencia de la infección”.
El mejora se produce cuando la Dispositivo 42 dijo que detectó exploraciones y sondas activas y automatizadas que intentaban explotar CVE-2023-33538 (puntuación CVSS: 8,8), una vulnerabilidad de inyección de comandos que afecta a los enrutadores inalámbricos EoL TP-Link, aunque utiliza un enfoque defectuoso que no resulta en un compromiso exitoso.
Vale la pena señalar que la defecto de seguridad se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en junio de 2025. La vulnerabilidad afecta a los siguientes modelos:
- TL-WR940N v2 y v4
- TL-WR740N v1 y v2
- TL-WR841N v8 y v10
“Aunque los ataques en estado salvaje que observamos tenían fallas y fallarían, nuestro examen confirma que la vulnerabilidad subyacente es vivo”, dijeron los investigadores Asher Davila, Malav Vyas y Chris Navarrete. “La explotación exitosa requiere autenticación en la interfaz web del enrutador”.
Los ataques, en este caso, intentan implementar un malware botnet similar a Mirai, cuyo código fuente presenta numerosas referencias a la condena “Condi”. Incluso viene equipado con la capacidad de actualizarse con una traducción más nueva y desempeñarse como un servidor web para propagar la infección a otros dispositivos que se conecten a él.
Cedido que los dispositivos TP‑Link afectados ya no cuentan con soporte activo, se recomienda a los usuarios reemplazarlos por un maniquí más nuevo y comprobar de que no se utilicen las credenciales predeterminadas.
“En el futuro previsible, el panorama de la seguridad seguirá estando determinado por el peligro persistente de credenciales predeterminadas en los dispositivos de IoT”, dijo la Dispositivo 42. “Estas credenciales pueden convertir una vulnerabilidad limitada y autenticada en un punto de entrada crítico para determinados atacantes”.
