Los routers industriales están siendo afectados por vulnerabilidades de día cero de nuevas botnets Mirai.

Investigadores de ciberseguridad han identificado una nueva variante del malware Mirai, que se centra en atacar enrutadores industriales y dispositivos inteligentes para el hogar mediante exploit de vulnerabilidades de día cero, malas configuraciones y contraseñas débiles. Este botnet, conocido como "gayfemboy", está vinculado a aproximadamente 15,000 direcciones IP activas distribuidas en países como Estados Unidos, Turquía, Irán, China y Rusia.

A diferencia de la versión original de Mirai, que fue responsable de algunos de los ataques DDoS más notorios y devastadores, esta nueva variante se beneficia de más de 20 vulnerabilidades distintas, algunas de las cuales carecen de CVEs asignados. Las investigaciones han revelado fallos en dispositivos como enrutadores Neterbit y productos de la marca Vimar, así como la explotación de la vulnerabilidad de inyección de comandos CVE-2024-12856, la cual se considera de alta severidad (7.2/10) y afecta a enrutadores industriales Four-Faith.

Desde febrero del año pasado, el botnet ha mantenido una serie de ataques DDoS, siendo el rendimiento más alto registrado en octubre y noviembre de 2024. Las ofensivas muestran una duración de entre 10 y 30 segundos y pueden alcanzar tráfico superior a 100 Gbps, lo que plantea un riesgo significativo incluso para infraestructuras bien establecidas. Los investigadores señalaron que los principales objetivos de estos ataques provienen de varias industrias en países como China, Estados Unidos, Alemania, Reino Unido y Singapur.

Los dispositivos más afectados incluyen enrutadores de marcas como ASUS, Huawei, Neterbit y LB-Link, cámaras PZT, DVRs Kguard y Lilin, así como una variedad de dispositivos 5G/LTE que presentan configuraciones incorrectas o credenciales débiles. Dado el alcance y la intensidad de los ataques, se recomienda a los usuarios de estos dispositivos que estén atentos a posibles signos de compromiso.