Los investigadores de seguridad cibernética han revelado que un actor de amenaza con nombre en código ViciousTrap ha comprometido a casi 5.300 dispositivos únicos de borde de red en 84 países y los ha convertido en una red similar a un honeypot.
Se ha observado que el actor de amenaza explota una equivocación crítica de seguridad que afecta a Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 Routers (CVE-2023-20118) para acorralarlos en un conjunto de abonos en masa en masa. La mayoría de las infecciones se encuentran en Macao, con 850 dispositivos comprometidos.
“La esclavitud de infección implica la ejecución de un script de shell, denominado Netghost, que redirige el tráfico entrante de puertos específicos del enrutador comprometido a una infraestructura similar a la honeypot bajo el control del atacante, lo que les permite interceptar flujos de redes”, dijo Sekoia en un observación publicado el jueves.
Vale la pena señalar que la explotación de CVE-2023-20118 fue atribuida previamente por la compañía francesa de ciberseguridad a otra botnet denominada Polaredge.
Si adecuadamente no hay evidencia de que estos dos conjuntos de actividades estén conectados, se cree que el actor de amenaza detrás de ViciousTrap está configurando infraestructura de honeypot violando una amplia abanico de equipos orientados a Internet, incluidos los enrutadores SOHO, SSL VPNS, DVRS y los controladores BMC de más que 50 marcas como Araknis Networks, ASUS, D-Link, Linksys y Qnap.
“Esta configuración permitiría al actor observar intentos de explotación en múltiples entornos y potencialmente recoger exploits no públicos o de día cero, y reutilizar el llegada obtenido por otros actores de amenazas”, agregó.
La esclavitud de ataque implica la pertrechos de CVE-2023-20118 para descargar y ejecutar un script bash a través de ftpget, que luego contacta a un servidor extranjero para obtener el binario WGET. En el ulterior paso, la equivocación de Cisco se explota por segunda vez, usándola para ejecutar un segundo script recuperado utilizando el WGet previamente descartado.
El script de shell de la segunda etapa, referenciado internamente como NetGhost, está configurado para redirigir el tráfico de red del sistema comprometido a la infraestructura de terceros controlada por el atacante, facilitando así los ataques adversarios en el medio (AITM). Todavía viene con capacidades para retirarse del host comprometido para minimizar el sendero forense.
Sekoia dijo que todos los intentos de explotación se han originado a partir de una sola dirección IP (“101.99.91 (.) 151”), con la actividad más temprana que se remonta a marzo de 2025. En un evento trascendente observado un mes luego, se dice que los actores de ViciousTrap han reutilizado un caparazón web no fiscuminado previamente empleado en ataques de botas polaredge para sus propias operaciones.
“Esta suposición se alinea con el uso del atacante de Netghost”, dijeron los investigadores de seguridad Felix Aimé y Jeremy Scion. “El mecanismo de redirección posiciona efectivamente al atacante como un observador silencioso, capaz de recoger intentos de explotación y, potencialmente, accesos de shell web en tránsito”.
Tan recientemente como este mes, los esfuerzos de explotación además se han dirigido a los enrutadores ASUS pero desde una dirección IP diferente (“101.99.91 (.) 239”), aunque no se ha antagónico que los actores de amenaza creen honeypot en los dispositivos infectados. Todas las direcciones IP utilizadas activamente en la campaña se encuentran en Malasia y forman parte de un sistema autónomo (AS45839) operado por el proveedor shinjiru.
Se cree que el actor es de origen de deje china sobre la almohadilla de una superposición débil con la infraestructura de Gobrat y el hecho de que el tráfico se redirige a numerosos activos en Taiwán y Estados Unidos.
“El objetivo final de ViciousTrap sigue sin estar claro incluso (aunque) evaluamos con gran confianza que es una red de estilo honeypot”, concluyó Sekoia.
