Un grupo de piratas informáticos avanzados ha pasado casi dos años infectando una amplia gama de enrutadores en América del Norte y Europa con ayuda de un ‘malware’ sigiloso que toma el control total de los dispositivos conectados que ejecutan Windows, macOS y Linux, según una reciente investigación del laboratorio de la compañía de telecomunicaciones estadounidense Lumen Technologies.
Hasta el momento, se han identificado al menos 80 objetivos infectados por el programa malicioso, que infecta enrutadores fabricados por Cisco, Netgear, Asus y DrayTek. Catalogado como ZuoRAT, el troyano de acceso remoto es parte de una campaña de hackeo más amplia que existe desde al menos el cuarto trimestre de 2020 y continúa operando, señala el documento.
ZuoRAT compromete los enrutadores de oficinas pequeñas y domésticas, recopilando las búsquedas de DNS y el tráfico HTTP. El uso de estas técnicas “demostró congruentemente un alto nivel de sofisticación por parte de un actor de amenazas, lo que indica que esta campaña posiblemente fue realizada por una organización patrocinada por un Estado“, según la investigación, que ha detectado en China rastros del uso de infraestructuras para dichos ataques informáticos.
Medidas de prevención
Una vez instalado, ZuoRAT identifica los dispositivos conectados al enrutador infectado y los piratas informáticos pueden usar el secuestro de DNS y de HTTP para instalar otros ‘malware’. Los investigadores afirman que la infraestructura de comando y control utilizada es intencionalmente compleja en un intento de ocultar lo que está sucediendo.
Para prevenir ser blanco de este ‘malware’, el laboratorio de Lumen Technologies recomienda reiniciar regularmente los enrutadores e instalar actualizaciones y parches de seguridad tanto en los rúteres como en los sistemas operativos.