AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

APT chino amplía su arsenal con nuevas puertas traseras ‘Leash’ dirigidas a routers SOHO

## Introducción

En las últimas semanas, Cisco Talos ha identificado una preocupante evolución en las capacidades ofensivas de un actor de amenazas persistente avanzado (APT) vinculado con China, conocido por su implicación en la campaña LapDogs. Este grupo ha ampliado su arsenal con tres nuevas puertas traseras denominadas LongLeash, DogLeash y JarLeash, diseñadas específicamente para comprometer routers SOHO (Small Office/Home Office). La aparición de estas herramientas representa una sofisticación creciente en las tácticas empleadas por los grupos APT chinos, incrementando la superficie de ataque y desafiando a los equipos de ciberseguridad responsables de proteger infraestructuras críticas y entornos corporativos.

## Contexto del Incidente o Vulnerabilidad

La campaña LapDogs, activa desde al menos 2023, se ha caracterizado por su enfoque en dispositivos de red ubicados en pequeñas y medianas empresas, así como en oficinas domésticas. El objetivo principal de estos ataques ha sido el establecimiento de persistencia y el aprovechamiento de la infraestructura comprometida para actividades de espionaje, movimiento lateral y exfiltración de datos. Según Cisco Talos, la reciente identificación de las puertas traseras LongLeash, DogLeash y JarLeash refleja una estrategia de diversificación de vectores y una clara intención de evadir mecanismos de detección convencionales.

La utilización de routers SOHO como vector de ataque es especialmente relevante en el contexto actual, dado el aumento del teletrabajo y la dispersión de la fuerza laboral, lo que convierte a estos dispositivos en puntos de entrada críticos y a menudo desprotegidos.

## Detalles Técnicos

### Puertas traseras identificadas y CVEs asociados

Las nuevas backdoors —LongLeash, DogLeash y JarLeash— son implantes modulares diseñados para diferentes arquitecturas de hardware y sistemas operativos presentes en routers SOHO. Aunque hasta el momento no se han revelado CVEs específicos asociados a estas puertas traseras, los vectores de infección incluyen la explotación de vulnerabilidades conocidas y día cero en firmware de routers de marcas ampliamente utilizadas (D-Link, TP-Link, Zyxel, entre otras).

### Vectores de ataque y TTP (MITRE ATT&CK)

Los vectores observados incluyen:

– **Scaneo masivo de dispositivos expuestos en Internet** (T1595)
– **Explotación de vulnerabilidades de autenticación remota** (T1190)
– **Despliegue de binarios maliciosos mediante acceso SSH o Telnet** (T1059)
– **Persistencia mediante modificación de scripts de inicio o firmware** (T1547)

Las puertas traseras permiten a los atacantes ejecutar comandos arbitrarios, redirigir tráfico, establecer túneles de comunicación cifrada y extraer credenciales de administración.

### Indicadores de compromiso (IoC)

Entre los IoC detectados destacan:

– Conexiones salientes a C2 ubicados en ASNs chinos y proxies en Hong Kong.
– Modificaciones en archivos de configuración del router como `/etc/init.d/` y `/etc/rc.local`.
– Presencia de binarios con nombres ofuscados que simulan procesos legítimos del sistema.

### Herramientas y frameworks

Se ha evidenciado el uso de frameworks como Metasploit para la explotación inicial y herramientas personalizadas para la gestión de las puertas traseras. No se descarta la utilización de Cobalt Strike en fases avanzadas para el movimiento lateral en redes corporativas.

## Impacto y Riesgos

El impacto de estas puertas traseras es significativo. Los routers SOHO comprometidos pueden:

– Servir de pivote para ataques a infraestructuras corporativas más protegidas.
– Permitir el espionaje de tráfico interno, incluso en redes segmentadas.
– Facilitar campañas de phishing y distribución de malware a través de DNS poisoning o ataques MITM.
– Violar la confidencialidad y la integridad de las comunicaciones, exponiendo datos personales y corporativos a actores estatales.

El potencial de afectación es elevado, considerando que más del 40% de las pymes europeas utilizan routers SOHO con configuraciones por defecto o firmware desactualizado, según datos de ENISA (2023).

## Medidas de Mitigación y Recomendaciones

– **Actualizar el firmware** de routers SOHO a la última versión disponible y aplicar parches de seguridad inmediatamente tras su publicación.
– **Deshabilitar servicios de administración remota** (Telnet, SSH, HTTP) si no son estrictamente necesarios.
– **Implementar autenticación multifactor** y contraseñas robustas para el acceso administrativo.
– **Monitorizar logs y tráfico** en busca de patrones anómalos e indicadores de compromiso conocidos.
– **Segmentar las redes** para limitar el movimiento lateral en caso de compromiso.
– **Realizar auditorías periódicas de seguridad** y sustituir hardware obsoleto que no reciba actualizaciones de seguridad.

## Opinión de Expertos

Jesús Domínguez, analista senior de amenazas en S21sec, comenta: “El uso de puertas traseras modulares en routers SOHO refleja una tendencia preocupante: los APT están profesionalizando su enfoque hacia el edge de las redes, conscientes de que los dispositivos de usuario final son el eslabón más débil en la cadena de seguridad”.

Por su parte, Elena Ruiz, CISO de una multinacional tecnológica, alerta sobre la necesidad de incorporar controles de seguridad en la cadena de suministro: “La gestión de dispositivos periféricos y la monitorización de firmware deben formar parte de cualquier estrategia de cumplimiento bajo NIS2 y el RGPD”.

## Implicaciones para Empresas y Usuarios

Las empresas deben considerar que la protección de routers SOHO es ya un requisito crítico para garantizar la integridad de las comunicaciones y la confidencialidad de los datos. El incumplimiento de las obligaciones de seguridad puede acarrear sanciones importantes bajo RGPD y NIS2, así como graves daños reputacionales. Los usuarios domésticos y teletrabajadores, por su parte, deben ser conscientes del riesgo y exigir actualizaciones de seguridad a sus proveedores.

## Conclusiones

La aparición de las puertas traseras LongLeash, DogLeash y JarLeash marca un salto cualitativo en la sofisticación de los APT chinos enfocados en dispositivos SOHO. La defensa de la periferia de las redes corporativas y la actualización continua de los dispositivos conectados son medidas imprescindibles en un entorno de amenazas cada vez más complejo y globalizado.

(Fuente: www.securityweek.com)