Investigadores en ciberseguridad han descubierto una campaña de malware activa que compromete dispositivos conectados a internet mediante vulnerabilidades conocidas en grabadores digitales de video (DVRs) de TBK y routers industriales Four-Faith. El objetivo: convertirlos en parte de una sofisticada botnet llamada RondoDox, diseñada para realizar ataques de denegación de servicio distribuidos (DDoS) y ocultar infraestructura de comando y control (C2).
Dispositivos vulnerables: DVRs y routers de misión crítica
Los fallos de seguridad explotados son:
- CVE-2024-3721: vulnerabilidad de inyección de comandos en los modelos TBK DVR-4104 y DVR-4216.
- CVE-2024-12856: fallo de inyección de comandos en el sistema operativo de los routers Four-Faith F3x24 y F3x36.
Estos dispositivos suelen instalarse en tiendas minoristas, almacenes, oficinas pequeñas y otros entornos sensibles. A menudo operan durante años sin mantenimiento o supervisión, lo que los convierte en objetivos ideales: fáciles de explotar, difíciles de detectar y frecuentemente expuestos directamente a internet a través de puertos mal configurados o firmware obsoleto.
RondoDox: más que una botnet convencional
A diferencia de otras variantes de Mirai que simplemente inundan objetivos con tráfico basura, RondoDox va más allá. Según Fortinet, esta botnet aprovecha los dispositivos comprometidos no solo como nodos de ataque, sino como proxies encubiertos para ocultar actividades maliciosas, realizar fraudes financieros y ejecutar campañas complejas de DDoS como servicio (DDoS-for-hire).
Técnicas avanzadas de evasión
RondoDox fue detectado inicialmente en septiembre de 2024 como un binario ELF orientado a arquitecturas Linux basadas en ARM y MIPS. Desde entonces, ha evolucionado y ahora utiliza un downloader en shell script que amplía su alcance a otras arquitecturas como x86-64, Intel 80386, PowerPC, AArch64, entre otras.
Este script realiza múltiples acciones para asegurar la persistencia:
- Instruye al sistema para ignorar señales como SIGINT, SIGTERM y SIGQUIT.
- Busca rutas con permisos de escritura en directorios críticos (/dev, /mnt, /var/tmp, etc.).
- Descarga y ejecuta el malware principal.
- Borra el historial de comandos para dificultar la detección.
Eliminación de obstáculos
Una vez instalado, el malware examina los procesos en ejecución y finaliza herramientas comunes de análisis como wget, curl, Wireshark o gdb. También elimina otros malware en competencia, como mineros de criptomonedas o variantes de Redtail, asegurando el control total del sistema infectado.
Además, reemplaza ejecutables legítimos en directorios clave con archivos renombrados aleatoriamente. Ejemplos:
| Ejecutable original | Nuevo nombre |
| iptables | jsuJpf |
| ufw | nqqbsc |
| passwd | ahwdze |
| shutdown | hhrqwk |
| reboot | gaajct |
Este comportamiento apunta a entorpecer la recuperación del sistema y prolongar el tiempo de permanencia del malware.
Ataques DDoS difíciles de detectar
Tras completar su instalación, RondoDox se comunica con un servidor externo (IP: 83.150.218[.]93) desde donde recibe comandos para lanzar ataques DDoS mediante los protocolos HTTP, UDP y TCP.
Para evitar ser detectado, emula tráfico de plataformas populares de juegos y comunicación, como:
- Valve, Minecraft, Fortnite, GTA, Roblox, DayZ
- Discord, OpenVPN, WireGuard, RakNet
- STUN, DTLS, RTC, OpenVPNCrypt, OpenVPNAuth
Esta estrategia le permite camuflar el tráfico malicioso entre flujos legítimos, dificultando su identificación incluso en entornos monitorizados.
Una amenaza que refleja la evolución del malware en IoT
RondoDox se une a una nueva generación de botnets como Mozi y RustoBot, caracterizadas por:
- Uso de droppers multi-arquitectura.
- Payloads cifrados con XOR.
- Resolución de C2 mediante DNS sobre HTTPS (DoH).
- Técnicas de anti-análisis y obfuscación de configuraciones.
Estas amenazas aprovechan la débil higiene de seguridad en el ecosistema IoT y la falta de endurecimiento de configuraciones básicas en dispositivos de red.
Conclusión: vigilancia activa ante amenazas sigilosas
El caso de RondoDox demuestra cómo las botnets modernas ya no dependen únicamente del volumen, sino que emplean sofisticadas técnicas de persistencia, ocultación y evasión. Para las organizaciones, esto se traduce en la necesidad urgente de:
- Auditar y segmentar dispositivos conectados a internet.
- Actualizar firmware de DVRs, routers y cámaras IP regularmente.
- Implementar monitoreo activo de tráfico inusual.
- Desplegar soluciones de detección basadas en comportamiento y no solo en firmas.
En un entorno donde las amenazas se adaptan más rápido que las defensas tradicionales, la ciberseguridad debe evolucionar hacia una postura proactiva y resiliente.
