Botnet Mozi persiste y sigue comprometiendo dispositivos Android conectados a pesar de las operaciones de interrupción

Introducción

A pesar de los esfuerzos coordinados de las fuerzas del orden y los equipos de respuesta a incidentes a principios de este año, el botnet Mozi continúa operando y representa una amenaza significativa para dispositivos Android conectados a Internet. Este artículo proporciona un análisis detallado y actualizado sobre la resiliencia de Mozi, su evolución técnica y las implicaciones para la ciberseguridad empresarial.

Contexto del Incidente

Mozi es un botnet conocido principalmente por infectar dispositivos IoT mediante la explotación de vulnerabilidades conocidas y credenciales débiles. Desde su aparición en 2019, ha evolucionado persistentemente, adaptando sus TTP para burlar las defensas tradicionales. A principios de 2024, una operación internacional liderada por autoridades chinas y diversas organizaciones de ciberseguridad logró desmantelar parcialmente la infraestructura de mando y control (C2) de Mozi. Sin embargo, recientes análisis de tráfico y telemetría de honeypots han confirmado que el botnet no fue erradicado completamente y que sus operadores han reagrupado recursos, focalizando sus ataques en nuevos vectores, especialmente sobre dispositivos Android conectados (smartphones, TV boxes, routers con firmware basado en Android, etc.).

Detalles Técnicos

Mozi utiliza múltiples CVE para propagarse, destacando entre ellos CVE-2021-35395 (vulnerabilidad en dispositivos IoT con firmware Realtek Jungle SDK) y CVE-2017-17215 (Huawei Home Gateway). Además, la variante más reciente observada implementa exploits específicos para Android Debug Bridge (ADB) expuesto en Internet, permitiendo la ejecución remota de código sin autenticación en versiones de Android afectadas (principalmente 7.x hasta 9.x con ADB habilitado por defecto).

Las muestras capturadas muestran que Mozi integra funcionalidades de persistencia avanzada, como la modificación de scripts de inicio (init.d) y la utilización de cargas útiles cifradas para evadir mecanismos de detección tradicionales. El botnet emplea técnicas del marco MITRE ATT&CK como T1078 (Obtención de credenciales válidas), T1046 (Detección de servicios de red) y T1090 (Proxy de red), además de pivotar entre dispositivos conectados en la misma red LAN.

Indicadores de Compromiso (IoC) detectados incluyen patrones de tráfico UDP en puertos no estándar (6000-7000), hashes de binarios específicos y direcciones IP asociadas a nodos C2 residuales, muchos de ellos en redes de proveedores de servicios en Asia y Europa del Este.

Impacto y Riesgos

Se estima que, tras la operación de interrupción, Mozi mantiene aún entre 30.000 y 50.000 nodos activos, con un 18% de crecimiento semanal en infecciones dirigidas a dispositivos Android conectados según datos de Shodan e informes de firmas como Netlab 360. El impacto potencial incluye la participación involuntaria en campañas de DDoS (capacidad de hasta 500 Gbps en ataques coordinados), exfiltración de información sensible, ataques de relay para eludir controles geográficos y la utilización de dispositivos comprometidos como pivotes en ataques a infraestructuras corporativas.

En términos de riesgos regulatorios, la presencia de dispositivos infectados puede suponer una violación directa de la GDPR en caso de fuga de datos personales, así como incumplimientos con los requisitos de ciberresiliencia establecidos por la directiva NIS2, especialmente para operadores de servicios esenciales.

Medidas de Mitigación y Recomendaciones

Para mitigar la amenaza de Mozi, se recomienda:

– Actualizar el firmware de todos los dispositivos Android y IoT a la última versión disponible.
– Deshabilitar y restringir el acceso al puerto ADB salvo para tareas de mantenimiento controladas.
– Implementar segmentación de red para aislar dispositivos IoT y Android conectados.
– Monitorizar patrones de tráfico hacia puertos UDP no estándar y establecer alertas de comportamiento anómalo en el SIEM.
– Aplicar listas de control de acceso (ACL) en routers y cortafuegos para bloquear IPs e indicadores de compromiso conocidos.
– Utilizar soluciones de EDR adaptadas a entornos Android e IoT para una detección proactiva de actividad maliciosa.
– Realizar auditorías periódicas de exposición de servicios en Internet y campañas internas de concienciación.

Opinión de Expertos

Miguel García, analista senior en ciberamenazas de S21sec, señala: “La resiliencia de Mozi evidencia la capacidad de los actores de amenazas para reconstituir infraestructuras tras operaciones de interrupción. Es crucial que las empresas adopten una defensa en profundidad y refuercen las medidas de segmentación y monitorización en entornos IoT y Android”.

Por su parte, Andrea López, CISO en una utility europea, advierte: “La persistencia de botnets como Mozi obliga a revisar la política de ciclo de vida de dispositivos conectados y a considerar la desactivación de funciones innecesarias que puedan servir de vector de entrada”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben priorizar la gestión del inventario de dispositivos conectados y su estado de seguridad, ya que la proliferación de Android en entornos corporativos incrementa la superficie de ataque. La falta de controles adecuados puede resultar en incidentes de seguridad con impacto financiero, operativo y legal, especialmente bajo el marco de la NIS2 y GDPR, que exige notificar incidentes significativos en menos de 72 horas.

A nivel de usuarios finales, la educación sobre los riesgos de exponer servicios de administración remota y el uso de contraseñas robustas en dispositivos conectados son medidas esenciales para evitar la propagación automatizada de Mozi y botnets similares.

Conclusiones

El caso de Mozi subraya la adaptabilidad de las amenazas dirigidas a dispositivos conectados, especialmente sobre plataformas Android. A pesar de los esfuerzos de desmantelamiento, la amenaza persiste y evoluciona, exigiendo un enfoque integral y actualizado en la gestión de ciberseguridad corporativa, combinando prevención, monitorización activa y respuesta ante incidentes.

(Fuente: www.darkreading.com)