Botnet Ballista: una ciberamenaza que explota los enrutadores Archer de TP-Link

Investigadores de ciberseguridad han descubierto otra campaña de botnets, Ballista, que ha estado atacando routers TP-Link Archer sin parches. La campaña, detectada por primera vez el 10 de enero de 2025, aprovecha una vulnerabilidad conocida (CVE-2023-1389) para infiltrarse en dispositivos y propagarse por internet. A diferencia de otras botnets que han explotado esta vulnerabilidad, Ballista parece estar en desarrollo activo, lo que representa una gran preocupación para usuarios y organizaciones de todo el mundo.

¿Qué es la Botnet Ballista?

Ballista es una campaña de software malicioso diseñada para comprometer los routers TP-Link Archer AX-21 vulnerables. Explota CVE-2023-1389, una vulnerabilidad de seguridad de alta gravedad que permite la inyección de comandos y, en última instancia, la ejecución remota de código (RCE). Una vez comprometido un router, Ballista se instala, establece un canal cifrado de comando y control (C2) y sigue una secuencia de ataque estructurada para lograr sus objetivos.

La botnet se propaga ejecutando un dropper de malware, identificado como "dropbpb.sh", que obtiene y ejecuta la carga útil principal en los dispositivos infectados. Este malware puede operar en diversas arquitecturas de sistema, como mips, mipsel, armv5l, armv7l y x86_64. Una vez dentro, la botnet ejecuta comandos, realiza ataques de denegación de servicio (DoS) e incluso elimina rastros de su propia presencia para evitar ser detectada.

¿Qué pretende conseguir Ballista?

El objetivo principal de Ballista parece ser obtener el control de dispositivos comprometidos con diversos fines maliciosos. Algunas de sus funciones clave incluyen:

  • Ejecución de comandos de shell: el malware permite a los atacantes ejecutar comandos de shell de Linux de forma remota, lo que les otorga un amplio control sobre el enrutador infectado.
  • Ataques de denegación de servicio (DoS): utilizando un comando conocido como "flooder", Ballista puede iniciar ataques de inundación, interrumpiendo las operaciones de la red.
  • Propagación a otros enrutadores: el malware puede explotar la misma vulnerabilidad en otros enrutadores sin parches, lo que aumenta significativamente su alcance.
  • Acceso y exfiltración de datos: intenta leer archivos confidenciales del sistema comprometido, exponiendo potencialmente información confidencial.
  • Autoconservación y evolución: Ballista está diseñado para eliminar versiones anteriores de sí mismo, garantizando que solo la última versión esté activa. Además, actualizaciones recientes indican que la botnet ha pasado de usar direcciones IP codificadas a usar dominios de red TOR, lo que dificulta su rastreo y mitigación.

¿Cuáles son las implicaciones?

La aparición de Ballista pone de relieve los continuos desafíos de seguridad para los dispositivos conectados a internet, en particular los routers de consumo, que a menudo no se actualizan. El alcance de la botnet es extenso, con más de 6.000 dispositivos atacados en Brasil, Polonia, Reino Unido, Bulgaria y Turquía. También se ha vinculado a ataques a empresas de los sectores manufacturero, sanitario, de servicios y tecnológico en Estados Unidos, Australia, China y México.

Las implicaciones de esta botnet van más allá de las infecciones individuales de routers. Dado que los dispositivos comprometidos pueden utilizarse para ciberataques a gran escala, Ballista tiene el potencial de contribuir a ciberamenazas globales, incluyendo:

  • Aumento de los ataques impulsados por botnets: con un número cada vez mayor de dispositivos infectados, los atacantes podrían usar Ballista para realizar ataques DoS coordinados, paralizando los servicios específicos.
  • Violaciones de datos y espionaje: el acceso a archivos confidenciales podría dar lugar a una filtración de datos no autorizada, poniendo en riesgo tanto a personas como a organizaciones.
  • Vulnerabilidades de la cadena de suministro: Las empresas que dependen de enrutadores comprometidos podrían, sin saberlo, convertirse en parte de campañas cibercriminales más grandes.
  • Dificultad de seguimiento y neutralización: la transición de la botnet al uso de dominios de red TOR hace que sea más difícil localizar a los atacantes y detener sus operaciones.

¿Cómo protegerse contra las balistas?

Dada la gravedad de la amenaza, los usuarios deben tomar medidas proactivas para proteger sus enrutadores:

  1. Actualizar el firmware del enrutador: asegúrese de que el firmware del TP-Link Archer AX-21 esté actualizado a la última versión, ya que los fabricantes publican periódicamente parches para corregir vulnerabilidades de seguridad.
  2. Deshabilitar la administración remota: si no es necesario, desactive las funciones de acceso remoto para evitar conexiones no autorizadas.
  3. Utilice credenciales seguras: evite las credenciales de inicio de sesión predeterminadas y utilice contraseñas complejas para la administración del enrutador.
  4. Supervisar el tráfico de la red: una actividad inusual, como picos en el tráfico saliente, podrían indicar una infección.
  5. Restablecimiento de fábrica y reconfiguración: si se sospecha que un dispositivo está comprometido, realizar un restablecimiento de fábrica y configurarlo desde cero puede ayudar a eliminar el malware.
  6. Implementar reglas de firewall: restringir el acceso innecesario a los puertos administrativos y bloquear direcciones IP sospechosas.

El camino por delante

Ballista no es la primera botnet que explota las vulnerabilidades de los routers, y sin duda no será la última. La presencia de cadenas en italiano en los binarios del malware sugiere un posible origen, pero debido a su naturaleza evolutiva, se desconoce quiénes son sus verdaderos operadores. La transición de la botnet hacia redes anónimas indica que se está perfeccionando activamente, lo que dificulta aún más los esfuerzos de mitigación.

Si bien Ballista se distingue de otras botnets como Mirai y Mozi, su capacidad de autopropagarse y ejecutar ataques potentes la convierte en un avance notable en el panorama de la ciberseguridad. A medida que surjan más detalles, mantenerse informado y tomar las precauciones necesarias será clave para prevenir daños generalizados.

Al priorizar las actualizaciones de seguridad y seguir las mejores prácticas, los usuarios pueden reducir el riesgo de Ballista y amenazas similares. La lucha contra las botnets continúa, pero la concienciación y la acción oportuna pueden limitar significativamente su impacto.

En Willa
March 12, 2025
Malware
Spanish
March 12, 2025
Malware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.