Una preocupante red de bots ataca routers TP-Link vulnerables.
Una antigua vulnerabilidad en los routers está siendo explotada nuevamente para la creación de botnets.
Investigadores en ciberseguridad han alertado sobre una nueva campaña de botnet que está siendo perpetrada por hackers italianos, quienes están explotando una vulnerabilidad existente en los enrutadores TP-Link Archer. Este nuevo grupo, al que se le ha asignado el nombre de Ballista, está utilizando una falla de ejecución remota de código (RCE), identificada como CVE-2023-1389, que permite el control de dispositivos comprometidos.
Se ha observado que la campaña empezó a desarrollarse en los primeros días de 2025 y parece ser parte de un esfuerzo más amplio para crear una botnet a partir de dispositivos conectados a Internet de las Cosas (IoT). La misma vulnerabilidad ha sido utilizada previamente en ataques, destacando su relevancia en el panorama de la ciberseguridad. Anteriormente, distintos grupos, incluido el conocido Mirai, habían intentado aprovechar esta falla.
En el desarrollo de esta campaña, los atacantes utilizan un script bash como un dropper de payload, lo que implica que primero entregan el malware. Tras una fase inicial, el botnet comenzó a incorporar dominios de Tor, buscando así operar de manera más encubierta en respuesta a la vigilancia por parte de investigadores de ciberseguridad.
Una vez que se ejecuta el malware, se establece un canal de comando y control (C2) cifrado en TLS a través del puerto 82, lo que permite el manejo completo del dispositivo comprometido. Esta situación posibilita la realización de comandos más complejos, incluyendo ejecución remota de código adicional y ataques de denegación de servicio (DoS). Además, el malware tiene la capacidad de leer archivos sensibles del sistema afectado.
Cato Network, la entidad responsable de las observaciones, ha expresado que, con "moderada confianza", considera que el grupo detrás de esta actividad delictiva opera desde Italia, basándose en las direcciones IP asociadas y en la presencia de cadenas de texto en italiano dentro del código del malware. La botnet Ballista se ha enfocado principalmente en organizaciones de manufactura, salud, servicios y tecnología en distintas partes del mundo, incluyendo Estados Unidos, Australia, China y México, con más de 6,000 dispositivos vulnerables identificados.
Para mitigar los riesgos presentados por Ballista, se recomienda actualizar los enrutadores TP-Link Archer a la versión de firmware 1.1.4 Build 20230219, que aborda esta vulnerabilidad.
