Una nueva amenaza llamada ‘Raptor Trainha comprometido más de 200.000 dispositivos IoT en todo el mundo. Esta botnet, compuesta principalmente por dispositivos de oficinas y hogar (SOHO), se atribuye a un grupo de amenazas conocido como ‘Flax Typhoon‘.

Raptor Train‘ ha estado activa desde mayo de 2020 y alcanzó su punto máximo en junio de 2023 con 60.000 dispositivos comprometidos. Ha infectado routers, cámaras IP, DVR Y NAS de diversos fabricantes, como ser ASUS, TP-LINK, Zyxel, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT y Synology.

Su estructura incluye tres niveles:

  • Nivel 1: Los dispositivos SOHO / IoT comprometidos (la mayoría localizados en EE.UU, Brasil, Turquía, Taiwán y Hong Kong).
  • Nivel 2: Los servidores de comando y control, servidores de carga útil y servidores de explotación.
  • Nivel 3: Los nodos de gestión, operados por Sparrow.

Los ataques se llevan a cabo mediante un implante en memoria llamado Nosedive, derivado de la botnet Mirai, lo que le permite ejecutar comandos y realizar ataques DDoS.

Cuatro campañas han estado vinculadas a Raptor Train, cada una centrada en diferentes dominios y dispositivos. La más reciente, conocida como Oriole, activa desde junio de 2023, utiliza el dominio C2 «w8510[.]com». Se volvió tan frecuente entre los dispositivos IoT comprometidos que, durante 2024, fue incluida en las listas de dominios de Cisco Umbrella y Cloudflare Radar.

El Departamento de Justicia de EE. UU. anunció el desmantelamiento de la botnet Raptor Train en una operación judicial que también vinculó al grupo Flax Typhoon con la empresa china Integrity Technology Group. El malware conectaba dispositivos comprometidos en una botnet controlada por esta empresa, utilizada para actividades maliciosas disfrazadas como tráfico regular de Internet.

Durante la operación, las autoridades incautaron la infraestructura de los atacantes y desactivaron el malware, a pesar de los intentos de los cibercriminales de frustrar la acción con un ataque DDoS dirigido a los servidores del FBI. La botnet llegó a contar con más de 260.000 dispositivos en junio de 2024, con víctimas distribuidas por América del Norte, América del Sur, Europa, Asia, África y Oceanía.

Una base de datos MySQL contenía registros de más de 1.2 millones de dispositivos comprometidos, administrados a través de la aplicación Sparrow, que también incluía herramientas para explotar redes mediante vulnerabilidades Zero-Day.

Fuente:

New «Raptor Train» IoT Botnet Compromises Over 200,000 Devices Worldwide