La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) advirtió el lunes de que los ciberactores del Centro 16 del Servicio Federal de Seguridad de Rusia (FSB) siguen explotando routers domésticos y de pequeñas oficinas mal configurados en todo el mundo, comprometiendo redes de sectores de infraestructura crítica. La alerta, co-firmada por los gobiernos de Australia, Dinamarca, Nueva Zelanda y Reino Unido, señala que los grupos —conocidos también como Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard y Static Tundra— utilizan redes de bots de routers comprometidos para escanear rangos de IP y localizar dispositivos con agentes del Protocolo Simple de Administración de Redes (SNMP) que aceptan credenciales comunes o por defecto.
Una vez identificado un dispositivo vulnerable, los atacantes envían tráfico malicioso desde direcciones suplantadas para ejecutar malware a través del agente SNMP, lo que les permite modificar el comportamiento del router y añadirlo a su red de bots. Los routers comprometidos se emplean como redes proxy residenciales para ocultar actividades dirigidas contra organizaciones sensibles de los sectores público y privado. CISA subraya que la mayoría de los routers de consumo y oficinas pequeñas están expuestos a este tipo de intrusiones si no se cambian las contraseñas predeterminadas y se actualiza el firmware. Tanto el Gobierno estadounidense como Google han intentado en los últimos años desinfectar dispositivos y desmantalar estas botnets, aunque las operaciones de sustitución por parte de los atacantes convierten los esfuerzos en un juego recurrente del tipo whack-a-mole.
