### Desmantelada infraestructura C2 de los botnets Aisuru, KimWolf, JackSkid y Mossad en una operación internacional

#### Introducción

Las infraestructuras de comando y control (C2) constituyen el núcleo operativo de cualquier botnet, permitiendo a los actores maliciosos orquestar ataques masivos, distribuir malware y comprometer dispositivos a escala global. En una operación coordinada, las autoridades de Estados Unidos, Alemania y Canadá han desmantelado los servidores C2 asociados a los botnets Aisuru, KimWolf, JackSkid y Mossad, enfocados principalmente en la explotación de dispositivos del Internet de las Cosas (IoT). Este golpe supone un avance relevante en la lucha contra las amenazas informáticas que afectan tanto a infraestructuras críticas como a empresas y usuarios particulares.

#### Contexto del Incidente

La proliferación de dispositivos IoT, junto con prácticas deficientes de seguridad —como contraseñas predeterminadas o firmware no actualizado—, ha facilitado la expansión de botnets especializadas en la explotación de estos entornos. Los botnets desmantelados estaban orientados a la infección masiva de dispositivos como routers domésticos, cámaras IP, grabadores de vídeo en red (NVR) y otros aparatos conectados, empleando técnicas automatizadas para su descubrimiento y explotación.

La operación conjunta entre el FBI, la Oficina Federal de Investigación Criminal de Alemania (BKA) y la Real Policía Montada de Canadá se centró en identificar, rastrear y desactivar la infraestructura C2 que permitía a estos botnets mantener el control sobre miles de dispositivos comprometidos a nivel mundial.

#### Detalles Técnicos

##### Identificadores y vectores de ataque

Los botnets Aisuru, KimWolf, JackSkid y Mossad han sido reconocidos en diversas campañas de amenazas desde 2022, destacando por su capacidad para explotar vulnerabilidades conocidas (CVE) en firmware de dispositivos IoT. Entre las CVE frecuentemente aprovechadas se encuentran:

– **CVE-2017-8225** (vulnerabilidad en routers D-Link)
– **CVE-2018-10562** (fallos en dispositivos GPON)
– **CVE-2022-22954** (vulnerabilidad en VMware Workspace ONE Access, utilizada para pivotar ataques a sistemas empresariales)

La operación de estos botnets seguía tácticas y procedimientos alineados con el marco MITRE ATT&CK, especialmente en las fases de:

– **Initial Access (T1190: Exploit Public-Facing Application)**
– **Execution (T1059: Command and Scripting Interpreter)**
– **Persistence (T1547: Boot or Logon Autostart Execution)**
– **Command and Control (T1071: Application Layer Protocol)**

El despliegue de payloads se realizaba mediante exploits automatizados y scripts personalizados, muchos de los cuales se distribuían a través de frameworks conocidos como Mirai, Metasploit y Cobalt Strike. Los IoC (Indicadores de Compromiso) identificados incluyen direcciones IP, hashes de archivos maliciosos y dominios utilizados para la comunicación C2.

##### Explotación y propagación

La infección inicial solía producirse a través de ataques de fuerza bruta a servicios Telnet y SSH, aprovechando credenciales por defecto o débiles. Una vez comprometido el dispositivo, el botnet desplegaba módulos para la ejecución remota de comandos, la descarga de malware adicional y la participación en ataques DDoS.

#### Impacto y Riesgos

Se estima que, en el momento de la intervención, la infraestructura C2 gestionaba entre 30.000 y 50.000 dispositivos infectados. Las consecuencias inmediatas de la actividad de estos botnets incluyen:

– **Ataques DDoS** a servicios públicos y privados, con impactos de hasta 500 Gbps en ataques individuales.
– **Riesgo de pivote a redes internas corporativas**, especialmente en entornos donde los dispositivos IoT no están segmentados.
– **Pérdida de datos** y acceso no autorizado a recursos empresariales.
– **Incumplimiento de regulaciones como el RGPD y la NIS2**, con potenciales sanciones económicas que pueden superar los 10 millones de euros o el 2% de la facturación anual.

#### Medidas de Mitigación y Recomendaciones

Las mejores prácticas para mitigar la exposición a botnets IoT incluyen:

– **Actualización inmediata de firmware** en todos los dispositivos conectados.
– **Desactivación y cambio de credenciales por defecto** en servicios de administración remota (Telnet, SSH, HTTP).
– **Segmentación de la red** para aislar dispositivos IoT y limitar el movimiento lateral.
– **Monitorización continua** mediante soluciones SIEM y EDR capaces de detectar tráfico anómalo hacia dominios C2 conocidos.
– **Aplicación de reglas de firewall** y listas de control de acceso (ACL) restrictivas.
– **Participación en iniciativas de intercambio de inteligencia de amenazas** (ISACs, CERTs) para obtener IoC actualizados.

#### Opinión de Expertos

Especialistas en ciberseguridad como Mikko Hyppönen (F-Secure) y Costin Raiu (Kaspersky GReAT) han destacado la importancia de la cooperación internacional para desmantelar infraestructuras C2 distribuidas y resilientes. Según estos expertos, la eliminación de servidores C2 es un paso necesario, pero temporal, ya que los actores maliciosos suelen reconstruir rápidamente sus operaciones. Recomiendan reforzar la seguridad preventiva en los endpoints y fomentar la colaboración público-privada en el ámbito de la respuesta a incidentes.

#### Implicaciones para Empresas y Usuarios

La operación evidencia la creciente exposición de las empresas a amenazas originadas en dispositivos IoT, muchas veces fuera del alcance tradicional de los equipos de seguridad. Es imperativo que los CISOs y responsables de TI revisen sus políticas de gestión de activos conectados, realicen auditorías periódicas y mantengan una postura proactiva frente a la aparición de nuevos vectores de ataque. Los usuarios finales deben ser conscientes del riesgo inherente a dispositivos IoT inseguros y exigir garantías de seguridad a fabricantes y proveedores.

#### Conclusiones

El desmantelamiento de la infraestructura C2 de los botnets Aisuru, KimWolf, JackSkid y Mossad representa un avance significativo en la protección del ecosistema IoT global. Sin embargo, la naturaleza resiliente y evolutiva de estos grupos exige una vigilancia constante, inversiones continuas en ciberseguridad y una cooperación internacional sostenida para mitigar futuras amenazas.

(Fuente: www.bleepingcomputer.com)