Los actores de amenaza desconocidos están abusando de los enrutadores celulares industriales de Miles Vight para dirigir mensajes SMS como parte de una campaña de doctorado dirigida a usuarios en países europeos desde al menos febrero de 2022.
La compañía francesa de ciberseguridad Sekoia dijo que los atacantes están explotando la API del enrutador celular para dirigir mensajes de SMS maliciosos que contienen URL de phishing, con las campañas que se dirigen principalmente a Suecia, Italia y a Bélgica utilizando URL tipográficas que hacen suceder por plataformas gubernamentales como CSAM y bandeja, así como la banquina, la postal y las plantas postales.
De los 18,000 enrutadores de este tipo accesibles en Internet conocido, se evalúa que no menos de 572 son potencialmente vulnerables correcto a que exponen las API de bandeja de entrada/bandeja de salida. En torno a de la porción de los enrutadores vulnerables identificados se encuentran en Europa.
“Adicionalmente, la API permite la recuperación de mensajes SMS entrantes y salientes, lo que indica que la vulnerabilidad ha sido explotada activamente para difundir campañas de SMS maliciosas desde al menos febrero de 2022”, dijo la compañía. “No hay evidencia de ningún intento de instalar puertas traseras o explotar otras vulnerabilidades en el dispositivo. Esto sugiere un enfoque dirigido, en formación específicamente con las operaciones de sonrisas del atacante”.
Se cree que los atacantes están explotando una descompostura de divulgación de información ahora parchada que impacta en los enrutadores de millas (CVE-2023-43261, puntaje CVSS: 7.5), que fue revelado por el investigador de seguridad Bipin Jitiya exactamente hace dos abriles. Semanas a posteriori, Vulncheck reveló que la vulnerabilidad puede ocurrir sido armada en la naturaleza poco a posteriori de la divulgación pública.
Una investigación adicional ha revelado que algunos de los enrutadores industriales exponen características relacionadas con SMS, incluido el giro de mensajes o ver el historial de SMS, sin requerir ninguna forma de autenticación.
Los ataques probablemente implican una etapa de garra auténtico en la que los actores de amenaza intentan probar si un enrutador determinado puede dirigir mensajes SMS al dirigir un número de teléfono bajo su control. Sekoia señaló encima que la API todavía podría ser accesible públicamente correcto a configuraciones erróneas, transmitido que se ha enemigo que un par de enrutadores ejecutan versiones de firmware más recientes que no son susceptibles a CVE-2023-43261.
Las URL de phishing distribuidas utilizando este método incluyen JavaScript que verifica si se accede a la página desde un dispositivo móvil ayer de servir el contenido sagaz, lo que, a su vez, insta a los usuarios a modernizar su información bancaria para el supuesto reembolso.
Adicionalmente, uno de los dominios utilizados en las campañas entre enero y abril de 2025-JNSI (.) XYZ-Cuenta de un código JavaScript para deshabilitar las acciones de clic derecho y las herramientas de depuración del navegador en un intento de obstaculizar los esfuerzos de prospección. Además se ha enemigo que algunas de las páginas registren conexiones de visitantes con un bot de telegrama llamado Groozabot, que es operado por un actor llamado “Gro_OZA”, que parece balbucir tanto árabe como francés.
“Las campañas de amordazamiento parecen haberse llevado a lengua a través de la explotación de enrutadores celulares vulnerables, un vector de entrega relativamente poco sofisticado, pero efectivo”, dijo Sekoia. “Estos dispositivos son particularmente atractivos para los actores de amenaza, ya que permiten la distribución descentralizada de SMS en múltiples países, lo que complica los esfuerzos de detección y derribo”.
