Campaña activa de malware basado en Mirai explota CVE-2025-29635 en routers D-Link DIR-823X

1. Introducción

En las últimas semanas, investigadores de seguridad han detectado una campaña maliciosa que aprovecha una vulnerabilidad crítica recientemente identificada en routers D-Link DIR-823X. La amenaza, basada en variantes del conocido malware Mirai, está explotando la vulnerabilidad CVE-2025-29635 para comprometer estos dispositivos y reclutarlos en una botnet con capacidades avanzadas de ataque. El incidente pone de manifiesto la creciente sofisticación de las campañas dirigidas contra dispositivos IoT y la urgencia de adoptar medidas de protección proactivas en el entorno corporativo y doméstico.

2. Contexto del Incidente o Vulnerabilidad

El router D-Link DIR-823X es utilizado ampliamente tanto en entornos residenciales como en pequeñas empresas, lo que lo convierte en un objetivo atractivo para los actores de amenazas. La vulnerabilidad CVE-2025-29635, clasificada como de alta gravedad (CVSS 8.8), permite la ejecución remota de comandos a través de la inyección de comandos en el interfaz web de administración del dispositivo. Explotando este fallo, los atacantes pueden tomar control total del router afectado sin necesidad de autenticación previa, facilitando su incorporación a botnets orientadas a ataques DDoS, proxy malicioso y movimientos laterales en redes comprometidas.

3. Detalles Técnicos

CVE-2025-29635 afecta específicamente a la familia de routers D-Link DIR-823X con versiones de firmware anteriores a la 1.5.2B05. La vulnerabilidad reside en la incorrecta sanitización de los parámetros recibidos por el endpoint `/cgi-bin/luci/;stok=/locale` del servidor web embebido, que permite la inyección de comandos arbitrarios en el sistema operativo subyacente.

Los TTPs (Tactics, Techniques, and Procedures) observados en la campaña se alinean con los siguientes identificadores MITRE ATT&CK:

– T1190 (Exploitation of Public-Facing Application): Aprovechamiento directo del endpoint vulnerable.
– T1059 (Command and Scripting Interpreter): Uso de payloads que ejecutan comandos Bash para descargar y ejecutar el binario Mirai.
– T1071 (Application Layer Protocol): Descarga de cargas útiles adicionales vía HTTP/HTTPS.

Los IoCs (Indicadores de Compromiso) recopilados incluyen hashes de binarios Mirai modificados, direcciones IP de servidores C2 (Command and Control) alojados en redes de Europa del Este y cadenas de User-Agent atípicas empleadas por los scripts de explotación automatizada. La campaña utiliza exploits públicos ya integrados en frameworks como Metasploit, lo que facilita la explotación incluso para actores con escasas capacidades técnicas.

4. Impacto y Riesgos

La explotación de CVE-2025-29635 permite a los atacantes:

– Tomar control total del router y modificar configuraciones de red.
– Redirigir tráfico, espiar comunicaciones o lanzar ataques Man-in-the-Middle.
– Incorporar el dispositivo a una botnet Mirai, participando en ataques DDoS coordinados.
– Facilitar nuevos vectores de ataque hacia otros activos de la red interna.

Según estimaciones recientes, más de 30.000 dispositivos DIR-823X expuestos en Shodan podrían verse afectados a nivel global. El coste potencial para empresas incluye interrupciones de servicio, pérdida de datos, sanciones regulatorias derivadas de GDPR y NIS2, y daño reputacional.

5. Medidas de Mitigación y Recomendaciones

D-Link ha publicado ya la actualización de firmware 1.5.2B05 que corrige la vulnerabilidad. Se recomienda encarecidamente:

– Actualizar todos los routers DIR-823X a la última versión de firmware disponible.
– Deshabilitar el acceso remoto a la interfaz de administración si no es estrictamente necesario.
– Monitorizar logs de tráfico y eventos en busca de patrones anómalos o IoCs asociados.
– Implementar reglas de firewall para restringir el acceso al puerto de administración.
– Realizar auditorías periódicas de dispositivos IoT expuestos y aplicar segmentación de red.

6. Opinión de Expertos

Expertos en ciberseguridad, como Anssi Kivinen (SANS Institute), subrayan que “la rápida explotación de vulnerabilidades en dispositivos IoT demuestra la profesionalización y automatización de los actores de amenaza. La combinación de exploits públicos y malware modular como Mirai aumenta significativamente el riesgo para organizaciones que no actualizan sus activos en tiempo y forma”.

Por su parte, analistas de Kaspersky y Rapid7 advierten que la explotación masiva de vulnerabilidades en routers domésticos y de pequeñas empresas podría ser la antesala de ataques a infraestructuras críticas, dada la creciente interconectividad de estos dispositivos.

7. Implicaciones para Empresas y Usuarios

Para las empresas, el compromiso de un router puede traducirse en una brecha de seguridad que facilite el acceso lateral a sistemas internos y la exfiltración de información confidencial. Para usuarios domésticos, el impacto se traduce en pérdida de privacidad, degradación de servicio y posibles implicaciones legales si su dispositivo es utilizado en ataques a terceros.

La normativa NIS2 y el RGPD refuerzan la obligación de garantizar la seguridad de los dispositivos conectados y notificar incidentes de seguridad en plazos muy ajustados, exponiendo a las organizaciones a sanciones económicas severas en caso de negligencia.

8. Conclusiones

La campaña activa que explota CVE-2025-29635 en routers D-Link DIR-823X evidencia la necesidad de una gestión proactiva de vulnerabilidades en el entorno IoT. La rapidez de explotación, la disponibilidad de exploits públicos y la facilidad para integrar dispositivos comprometidos en botnets subrayan la criticidad de la actualización y monitorización continuada. Las empresas y usuarios deben priorizar la protección de sus dispositivos de red para mitigar el riesgo de incidentes graves y cumplir con las exigencias regulatorias vigentes.

(Fuente: www.bleepingcomputer.com)