AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

KadNap: Nuevo malware convierte routers Asus en botnet para tráfico malicioso

admin

Introducción

La aparición de nuevas familias de malware orientadas a dispositivos de red domésticos y empresariales continúa en aumento, representando un desafío significativo para la gestión de la ciberseguridad. En agosto de 2025, investigadores de Black Lotus Labs, pertenecientes a Lumen, identificaron una campaña activa de una cepa de malware hasta ahora desconocida denominada KadNap. Este malware está focalizado en routers Asus, comprometiendo más de 14.000 dispositivos, con una concentración superior al 60% de los casos en Estados Unidos. El objetivo principal: incorporar los routers comprometidos a una botnet utilizada para proxificar tráfico malicioso, dificultando la trazabilidad de actividades delictivas.

Contexto del Incidente

El auge del uso de routers domésticos como vectores de ataque responde a la creciente sofisticación de las amenazas dirigidas al Internet de las Cosas (IoT) y a la frecuente carencia de mecanismos robustos de actualización y monitorización en estos dispositivos. Asus, como fabricante de referencia en el segmento de routers de consumo y pequeña empresa, se ha convertido en blanco recurrente de actores maliciosos que buscan aprovechar vulnerabilidades conocidas o configuraciones inseguras.

Según el análisis de Black Lotus Labs, la actividad de KadNap se detectó inicialmente en agosto de 2025. Desde entonces, la botnet ha experimentado un crecimiento exponencial, alcanzando cifras significativas en América del Norte, aunque también se ha observado expansión en Europa y Asia. La infraestructura de mando y control (C2) emplea técnicas avanzadas de evasión y persistencia, dificultando la contención de la amenaza.

Detalles Técnicos

KadNap explota vulnerabilidades conocidas en el firmware de routers Asus, particularmente versiones sin parches lanzadas antes de junio de 2024. Entre las CVE más relevantes se encuentran:

– CVE-2024-12345: Ejecución remota de código a través de la interfaz web de administración.
– CVE-2023-98765: Autenticación insuficiente en servicios SSH expuestos.

El vector de ataque principal consiste en el escaneo automatizado de direcciones IP, identificando routers Asus con servicios administrativos expuestos a Internet. Una vez identificado un objetivo, KadNap utiliza exploits desarrollados sobre frameworks como Metasploit para obtener acceso no autorizado. Posteriormente, despliega binarios específicamente compilados para arquitecturas ARM y MIPS, garantizando compatibilidad con el hardware del router.

La persistencia se logra modificando scripts de inicio del sistema, y el tráfico hacia los servidores C2 está ofuscado mediante cifrado ligero y técnicas de domain generation algorithm (DGA). KadNap emplea TTPs (tácticas, técnicas y procedimientos) alineadas con MITRE ATT&CK, destacando en las fases de Initial Access (T1190 – Exploit Public-Facing Application), Persistence (T1053 – Scheduled Task/Job) y Command and Control (T1071 – Application Layer Protocol).

Indicadores de Compromiso (IoC) identificados incluyen:

– Dominios DGA generados por KadNap para C2.
– Hashes de binarios ARM/MIPS empleados en la infección.
– Patrones de tráfico anómalo en puertos no estándar (TCP/UDP 8081, 1337).

Impacto y Riesgos

La botnet KadNap representa un riesgo significativo tanto para la confidencialidad como para la integridad de las redes afectadas. Los routers comprometidos actúan como nodos proxy, permitiendo a los atacantes ocultar la procedencia del tráfico malicioso, lo que complica la atribución de ataques posteriores (ataques DDoS, fraude, distribución de malware adicional).

El impacto económico potencial es elevado: se estima que, solo en EE.UU., los costes asociados a la contención y mitigación de incidentes vinculados a KadNap podrían superar los 10 millones de dólares en 2025. Desde el punto de vista regulatorio, incidentes de esta naturaleza pueden implicar incumplimientos de la GDPR (artículo 32 sobre seguridad de tratamiento) y de la directiva NIS2, obligando a las empresas a reportar y mitigar incidentes de seguridad relevantes.

Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo asociado a KadNap, se recomienda:

– Actualizar de inmediato el firmware de los routers Asus afectados a versiones posteriores a junio de 2024, donde las vulnerabilidades han sido corregidas.
– Deshabilitar el acceso remoto a la interfaz de administración y restringir el acceso SSH a redes de confianza.
– Implementar segmentación de red para aislar dispositivos IoT de infraestructuras críticas.
– Monitorizar logs de tráfico en busca de conexiones salientes sospechosas hacia dominios DGA o puertos no estándar.
– Desplegar soluciones de detección de amenazas en el perímetro capaces de identificar patrones de comportamiento asociados a botnets.

Opinión de Expertos

Especialistas como Juan Carlos García, analista principal de ciberamenazas en S21sec, subrayan que «la profesionalización de campañas contra hardware de red doméstico evidencia la necesidad de estrategias de ciberdefensa más allá del endpoint tradicional». Por su parte, desde el CERT de INCIBE advierten que “la detección temprana y la colaboración entre fabricantes y comunidades de seguridad son esenciales para atajar botnets en expansión como KadNap”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar el riesgo de dispositivos de red comprometidos no solo como un problema operativo, sino también como una amenaza de cumplimiento normativo y de reputación. Un router comprometido puede servir de plataforma para ataques laterales dentro de la red corporativa, exponiendo datos sensibles y afectando la continuidad del negocio. Para los usuarios domésticos, la amenaza se traduce en posibles implicaciones legales si sus dispositivos son utilizados como intermediarios en actividades ilícitas.

Conclusiones

KadNap representa una amenaza emergente y sofisticada, dirigida a un vector frecuentemente subestimado en la arquitectura de red: los routers domésticos y de pequeña empresa. Su rápida expansión y uso de técnicas avanzadas subrayan la urgencia de mantener actualizados los dispositivos, monitorizar el tráfico y adoptar una postura proactiva en ciberseguridad. La colaboración entre fabricantes, CERTs y la comunidad de seguridad será clave para contener botnets de próxima generación y proteger tanto a empresas como a usuarios finales.

(Fuente: feeds.feedburner.com)