Botnet RondoDox: una amenaza para dispositivos de videovigilancia y redes comerciales

La unidad de investigación de SILIKN ha emitido una alerta sobre una campaña activa de malware que explota vulnerabilidades en grabadoras de video digital TBK y en routers Four-Faith. El objetivo es comprometer estos equipos para integrarlos a la botnet emergente RondoDox.

Vulnerabilidades críticas: CVE-2024–3721 y CVE-2024–12856

Los atacantes aprovechan dos fallas conocidas:

CVE-2024–3721, que permite la inyección de comandos en DVR TBK (modelos DVR-4104 y DVR-4216).

CVE-2024–12856, que permite ejecución remota de comandos en routers Four-Faith de las series F3x24 y F3x36.

Estos dispositivos son comunes en sectores como comercio minorista, logística y organizaciones pequeñas, donde la falta de actualizaciones y supervisión los convierte en blancos vulnerables.

Entornos afectados: comercios, logística y oficinas con recursos limitados

La popularidad de estos equipos responde a su bajo costo y facilidad de instalación. Se emplean en:

• Tiendas como OXXO, 7-Eleven y Farmacias Similares
• Boutiques y joyerías
• Empresas de paquetería (Estafeta), almacenes (Central de Abasto), transporte rural
• Escuelas privadas, clínicas médicas, oficinas profesionales en edificios compartidos

Medidas de mitigación: mantenimiento, redes segmentadas y VPNs

Para reducir riesgos, SILIKN recomienda:

• Actualizar el firmware
• Implementar VLANs o firewalls
• Cerrar puertos innecesarios
• Usar VPN para el acceso remoto
• Contratar servicios externos de ciberseguridad en ausencia de personal técnico

RondoDox: una evolución de Mirai con arquitectura sofisticada

Aunque está relacionada con Mirai, RondoDox presenta funcionalidades avanzadas:

• Disimula su presencia simulando tráfico de servicios populares
• Transforma los dispositivos en proxies para control de tráfico y ataques
• Refuerza esquemas DDoS contra infraestructuras críticas

Múltiples plataformas, persistencia y evasión de herramientas de análisis

Inicialmente dirigido a sistemas ARM y MIPS, hoy RondoDox se ejecuta en arquitecturas como Intel 80386, MC68000, PowerPC, x86–64, entre otras.

• Desactiva señales como SIGINT, SIGQUIT y SIGTERM
• Se instala en directorios con permisos de escritura
• Elimina competidores como criptomineros y malware
• Modifica ejecutables del sistema con nombres aleatorios (iptables → jsuJpf, passwd → ahwdze)

Comunicación cifrada y camuflaje de tráfico malicioso

Una vez activo, establece conexión con un servidor C2 (83.150.218[.]93) y lanza ataques DDoS utilizando HTTP, UDP y TCP.
Simula tráfico legítimo de plataformas de videojuegos, VPNs, mensajería instantánea y servicios de voz, evadiendo filtros tradicionales.

Implicaciones para la seguridad de IoT en entornos vulnerables

La complejidad de RondoDox destaca la necesidad de auditorías regulares, prácticas proactivas de seguridad y la profesionalización del mantenimiento de equipos de red.

Para más información, visite: https://www.silikn.com