El actor de amenazas estatal chino más conocido como Volt Typhoon está protagonizando un regreso significativo después de que su infraestructura de botnet fuera interrumpida en un desmantelamiento liderado por Estados Unidos a principios de febrero de 2024.
La botnet maliciosa de Volt Typhoon comprendía cientos de enrutadores Cisco y Netgear para oficinas pequeñas y domésticas (SOHO) que habían alcanzado el estado de fin de vida útil (EOL) y, por lo tanto, ya no recibían actualizaciones de seguridad.
El actor de amenazas infectó estos dispositivos con el malware KV Botnet y los utilizó para ocultar los orígenes de ataques posteriores dirigidos a operaciones críticas de infraestructura nacional (CNI) en los EE. UU. y otros lugares.
Ahora, nueve meses después, los analistas de amenazas de SecurityScorecard dicen que han observado señales de que Volt Typhoon no sólo ha vuelto al negocio, sino que es “más sofisticado y decidido que nunca”.
El equipo Strike de SecurityScorecard ha estado analizando minuciosamente millones de puntos de datos recopilados de la infraestructura más amplia de gestión de riesgos de la organización y ha determinado que ahora se está adaptando y profundizando después de lamer sus heridas tras el derribo.
“Los descubrimientos del Strike Team resaltan la creciente amenaza que representa Volt Typhoon. A medida que la botnet se propaga y sus tácticas se profundizan, los gobiernos y las corporaciones deben abordar urgentemente las debilidades en los sistemas heredados, las infraestructuras de nube pública y las redes de terceros”, dijo Ryan Sherstobitoff, vicepresidente senior de investigación e inteligencia de amenazas de SecurityScorecard.
“Volt Typhoon es a la vez una botnet resistente y una advertencia. Sin una acción decisiva, esta amenaza silenciosa podría desencadenar una crisis de infraestructura crítica impulsada por vulnerabilidades que no se resuelven”.
En los últimos meses, Volt Typhoon ha creado nuevos servidores de comando utilizando servicios de alojamiento como Digital Ocean, Quadranet y Vultr, y ha registrado nuevos certificados SSL para evadir a las autoridades.
El grupo ha seguido explotando vulnerabilidades heredadas en los enrutadores Cisco RV320/325 y Netgear ProSafe. Sherstobitoff reveló que la operación pudo comprometer el 30% de los Cisco RV320/325 visibles del mundo en tan solo un mes.
“La profunda investigación del Strike Team ha expuesto la compleja red de Volt Typhoon construida sobre dispositivos SOHO y EOL comprometidos. Este grupo ha convertido en armas enrutadores obsoletos a escala global, tejiendo capas de ofuscación que enmascaran su presencia y hacen que la detección sea excepcionalmente difícil”, dijo Sherstobitoff.
“Estos enrutadores comprometidos actúan como camaleones digitales, facilitando el movimiento encubierto de datos mientras imitan el tráfico normal de la red. Los analistas han identificado malware basado en MIPS en estos dispositivos, similar a Mirai, diseñado para establecer conexiones encubiertas y comunicarse a través de reenvío de puertos a través de 8443. Este método mantiene las operaciones de comando de Volt Typhoon fuera del radar, incluso para equipos experimentados de seguridad cibernética.
“Los webshells, como fy.sh, están estratégicamente implantados en los enrutadores, lo que permite a Volt Typhoon mantener un acceso persistente y un control remoto seguro. El ataque no sólo se esconde: se integra perfectamente en las operaciones rutinarias de la red. ¿El resultado? Un punto de apoyo resistente, particularmente dentro de los sectores gubernamentales y de infraestructura crítica, que camufla las actividades maliciosas y complica cualquier esfuerzo de limpieza”, dijo.
En septiembre de 2024, se observó que su nuevo grupo de botnet enrutaba tráfico en todo el mundo, gran parte del cual transitaba a través de un dispositivo de red privada virtual (VPN) comprometido que actúa como un puente silencioso entre Asia-Pacífico y Estados Unidos.
Se determina que este dispositivo está ubicado en algún lugar de Nueva Caledonia, una isla francesa en el Océano Pacífico Sur, a unas 750 millas al noroeste de Queensland, Australia. Al ubicar su centro en un lugar considerado parte de Francia (aunque el estatus legal de Nueva Caledonia como sui generis El territorio de ultramar es complejo y controvertido: Volt Typhoon podría evitar un escrutinio adicional y ampliar aún más el alcance de su botnet.
Sherstobitoff advirtió que los operadores de CNI todavía presentaban un objetivo atractivo para los atacantes patrocinados por el estado chino gracias a su papel esencial en la estabilidad económica, mientras que la persistente dependencia del sector de la tecnología heredada está creando una “tormenta perfecta” para la disrupción.
Añadió que muchos proveedores de tecnología externos carecen de defensas sólidas, lo que ofrece a los actores de amenazas persistentes avanzadas (APT) como Volt Typhoon puntos de entrada fáciles.