La botnet C0XMO, una nueva variante del conocido malware Gafgyt, está explotando de forma activa una vulnerabilidad en routers con firmware DD-WRT para propagarse, y lo hace con una peculiaridad que la diferencia de sus predecesoras: está programada para detectar y eliminar el malware de otras botnets rivales, consolidando así su control absoluto sobre el dispositivo infectado. Es, sin duda, un giro en la ciberguerra de las botnets.
Los investigadores de Fortinet, que han bautizado a esta nueva cepa, han descubierto una botnet con una arquitectura considerablemente más avanzada y con un conjunto de funciones más amplio que las primeras botnets de IoT. Su diseño modular permite a sus operadores actualizar las técnicas de explotación, añadir o eliminar arquitecturas de CPU objetivo y expandir sus capacidades de movimiento lateral de forma independiente a la carga útil principal. Le adelanto que esta flexibilidad la convierte en una amenaza persistente y difícil de erradicar.
En esencia, C0XMO sigue siendo un malware para lanzar ataques de denegación de servicio distribuido (DDoS). Soporta 19 métodos de ataque, entre los que se incluyen inundaciones UDP, TCP, SYN e ICMP, el clásico ‘ping de la muerte’, ataques de amplificación NTP y Memcached, e inundaciones UDP de voz de Discord y específicas de Valve. El objetivo es siempre el mismo: tumbar un servicio a base de saturarlo con tráfico basura.
La botnet C0XMO no solo se propaga: ejecuta una orden de asesinato contra cualquier otro malware que ocupe su lugar en el router comprometido.
Anatomía de un ataque: cómo C0XMO secuestra un router
La puerta de entrada de C0XMO es una vulnerabilidad conocida desde hace cinco años, la registrada como CVE-2021-27137. Se trata de un desbordamiento de búfer en el firmware DD-WRT que puede ser explotado sin autenticación previa, lo que permite la ejecución de código arbitrario en el dispositivo. Una vez dentro, el malware se copia a ubicaciones ocultas como ‘/tmp/.sys’, ‘/var/tmp/.sys’ y ‘/dev/shm/.sys’. Para garantizar su persistencia, crea trabajos cron que lo relanzan cada 15 minutos y modifica los archivos de inicio del shell para una ejecución automática.
Pero el verdadero salto cualitativo viene después. El malware despliega un escáner escrito en Python que descarga paquetes adicionales como ‘paramiko’ para moverse por SSH, ‘requests’ para comunicarse y ‘beautifulsoup4’ para el escaneo web. Este escáner utiliza múltiples hilos para rastrear sistemas expuestos en puertos comunes (22, 23, 80, 443, 7547, 8080, 8443, 8888 y otros), intenta ataques de fuerza bruta contra credenciales Telnet y SSH débiles, detecta la arquitectura de la CPU de la víctima y despliega una versión compatible del binario de C0XMO. La capacidad de movimiento lateral del malware no se limita a los routers DD-WRT, sino que se extiende a DVRs, plataformas de gestión de vídeo y dispositivos Android.
Sí, ha leído bien: una botnet construida sobre la fragilidad de las contraseñas por defecto y las actualizaciones olvidadas. Como ya escribí en El quinto elemento, «el próximo 11S empezará con un clic». Y el número de dispositivos desprotegidos crece cada día.
El legado de Gafgyt y la guerra de botnets en el IoT
Gafgyt, el progenitor de C0XMO, es un viejo conocido en el mundo de la ciberseguridad. Apareció hace años como uno de los precursores del malware para dispositivos del Internet de las Cosas (IoT), y junto con Mirai, ha sido responsable de algunos de los ataques DDoS más potentes de la historia. Pero Gafgyt siempre fue relativamente simple. Lo que Fortinet describe es a un descendiente que ha cursado un máster en oficio cibernético: «un grado de sofisticación operativa y complejidad mayor que el malware Gafgyt típico».
Lo más llamativo del diseño de C0XMO es su comportamiento depredador. Una vez activo en un sistema, escanea los procesos en ejecución para identificar no solo las herramientas de los equipos de seguridad (red team) o servicios de red que podrían interferir, sino también a los clientes de otras botnets competidoras. Cuando los encuentra, los elimina. El malware borra los binarios de sus rivales y desmantela sus mecanismos de persistencia, incluyendo trabajos cron, scripts init, servicios del sistema y entradas en perfiles de shell. Es una forma cibernética de eliminar a la competencia para quedarse con el monopolio del recurso robado.
En el laboratorio, los investigadores observaron que la botnet apuntaba a una empresa tecnológica japonesa, aunque la dirección IP de origen identificada correspondía a un dispositivo ubicado en Alemania. Verá usted que este dato es relevante: confirma el alcance global de la amenaza y la facilidad con la que el tráfico malicioso puede ser redirigido a través de nodos comprometidos en todo el mundo.
Dossier Moncloa: Ojos en la Sombra
Cuando una botnet evoluciona de simple herramienta DDoS a una plataforma modular con capacidad de eliminar a sus rivales, deja de ser un simple problema técnico para convertirse en un arma estratégica en la ciberguerra entre grupos criminales y, potencialmente, entre Estados. Desde esta redacción, seguimos con lupa este tipo de desarrollos porque, aunque ahora mismo la infección se base en contraseñas débiles y vulnerabilidades antiguas, el siguiente paso lógico es la integración de exploits de día cero, lo que cambiaría radicalmente el tablero. He hablado con analistas que siguen de cerca el tráfico de IoT y todos coinciden: esto es una escalada.
El vector de amenaza es un ciberataque de botnet con capacidad de autopropagación y movimiento lateral. En el campo de las agencias implicadas, la situación es difusa. El servicio atacante no está atribuido a un Estado en este caso, sino a un actor criminal sofisticado y con recursos. Sin embargo, la capacidad de eliminar malware competidor es una técnica que hemos visto patrocinada por Estados en operaciones previas de contra-ciberguerra. Cabe recordar la Operación Olympic Games y cómo Stuxnet, una pieza de malware de una complejidad sin precedentes en 2010, no solo saboteaba centrifugadoras, sino que también incorporaba mecanismos para permanecer oculto y evitar interferencias. La diferencia, claro está, es el objetivo: de la infraestructura nuclear de Natanz a los routers de un hogar o una empresa en Japón a través de un nodo en Alemania.
La agencia defensora es, en la práctica, cualquier entidad que mantenga este tipo de dispositivos, y por extensión, los equipos de respuesta a incidentes y fabricantes como DD-WRT. Los terceros observadores somos todos los que analizamos el tráfico global, y en particular, el CNI y el CCN-CERT en España, que monitorizan la amenaza para nuestras infraestructuras críticas. A día de hoy, no me consta una alerta específica del CCN-CERT por C0XMO, pero la regla de oro en este oficio es que al tráfico nunca se le da cuartel. La defensa recomendada es la de siempre: parchear, deshabilitar accesos remotos innecesarios y, por favor, no usar ‘admin/admin’ como credenciales.
A juzgar por la naturaleza pública del informe de Fortinet, el nivel de clasificación estimado del material es Sin Clasificar pero Sensible. La información está disponible, pero el verdadero secreto reside en la telemetría: quién está detrás de las operaciones de mando y control, a quién apuntan realmente y cuáles son sus elusiones. Lo veo como un recordatorio de que estamos entrando en un ciclo de mercenarios digitales cada vez más agresivos, donde el control del mayor número de dispositivos zombies es la moneda de cambio del poder en la red.
En mi opinión, la pregunta no es si esta botnet afectará a España, sino cuántos dispositivos comprometidos tendremos ya actuando como nodos sin que sus dueños lo sepan. El próximo informe técnico de Citizen Lab o Mandiant puede darnos la clave de la atribución final, aunque reconozco que en este tipo de cibercrimen avanzado, la atribución es una ciencia inexacta con más preguntas que certezas.
