Una botnet con un nombre único, Gayfemboy, está rompiendo la tendencia ordinary con variantes de Mirai y convirtiéndose en una amenaza DDoS persistente.
Identificado por primera vez por investigadores de ciberseguridad en QiAnXin Laboratorio XL En febrero de 2024, Gayfemboy confundió a los analistas por su resiliencia, rápida evolución y naturaleza agresiva. A diferencia de los derivados transitorios de Mirai que pueblan el paisaje, Gayfemboy se ha convertido en una botnet sofisticada y de gran escala capaz de explotar vulnerabilidades de día cero (0-day) y lanzar ataques feroces.
Cuando Gayfemboy surgió en febrero de 2024, parecía ser simplemente otro clon de Mirai. Las muestras iniciales no tenían nada especial, estaban equipadas con una carcasa UPX estándar y carecían de innovación notable. Muchos lo habrían descartado como otra botnet fugaz condenada a desaparecer. Sin embargo, durante los meses siguientes, Gayfemboy experimentó un agresivo desarrollo iterativo para integrar nuevas capacidades.
En abril de 2024, sus desarrolladores modificaron el shell UPX con un nuevo número mágico, «YTSx99», y adoptaron un paquete de registro personalizado denominado «gayfemboy». A mediados de junio, la botnet avanzó aún más, ajustó su shell UPX y logró una estabilidad relativa, con solo cambios incrementales en los dominios de comando y management (C2).
Mientras los investigadores seguían su desarrollo, el equipo de XLab observó que Gayfemboy se volvía cada vez más innovador. En noviembre de 2024, la botnet avanzó dramáticamente, explotando una vulnerabilidad de día 0 en los enrutadores industriales 4-Religion (posteriormente divulgada como CVE-2024-12856), junto con vulnerabilidades aparentemente desconocidas en los enrutadores Neterbit y los dispositivos domésticos inteligentes de Vimar, para expandir dramáticamente su infección. escala.
Las capacidades y la agresión de Gayfemboy se hicieron evidentes cuando los investigadores de XLab intentaron analizar su escala registrando dominios C2 no reclamados. Al detectar las acciones de los investigadores, los operadores de botnet lanzaron ataques DDoS de represalia contra los dominios registrados, un movimiento hostil que subrayó la sofisticación y la tenacidad operativa de Gayfemboy.
El análisis reveló que Gayfemboy es una entidad ambiciosa y en rápida evolución. XLab midió más de 15.000 nodos activos diarios orquestados bajo el mando de la botnet. Estos dispositivos comprometidos se organizaron en más de 40 grupos separados, lo que demuestra un mecanismo avanzado para administrar la extensa pink de dispositivos infectados de la botnet.
Gayfemboy explota las vulnerabilidades de día 0 y día N
Gayfemboy se distingue por utilizar una combinación de más de 20 vulnerabilidades junto con credenciales débiles de Telnet para comprometer dispositivos. Los operadores integran vulnerabilidades de día N (agujeros de seguridad bien documentados) y exploits de día 0 para escalar su botnet.
Vulnerabilidades no reveladas afectaron a dispositivos como las soluciones para el hogar inteligente de Vimar. Por razones éticas comprensibles, los investigadores omitieron detalles de las vulnerabilidades no reveladas).
El método de infección varía según el dispositivo de destino. Los investigadores identificaron varios dispositivos infectados basándose en la información de agrupación incluida en los datos de la botnet. Esto permite a los atacantes categorizar y controlar de manera eficiente los nodos infectados. Los objetivos principales incluyen:
- Enrutadores ASUS, que utilizan vulnerabilidades del día N.
- Enrutadores 4-Religion, violados a través de CVE-2024-12856.
- Enrutadores Neterbit, detalles metodológicos desconocidos.
PorcelanaEstados Unidos, Irán, Rusia y Turquía representan la mayoría de los dispositivos comprometidos, aunque las infecciones de Gayfemboy también se extienden a otras regiones.
Una amenaza DDoS persistente
La verdadera fortaleza de Gayfemboy reside en su capacidad para lanzar devastadores ataques DDoS. A partir de febrero de 2024, la botnet cambió su enfoque hacia ofensivas DDoS intermitentes pero de alto impacto dirigidas a cientos de entidades diariamente.
Los analistas rastrearon un fuerte repunte en la actividad alrededor de octubre y noviembre de 2024, lo que afectó a industrias que van desde telecomunicaciones a organizaciones gubernamentales. Geográficamente, los ataques afectaron principalmente a entidades en China, Estados Unidos, Alemania, Reino Unido y Singapur.
Cuando los investigadores de XLab utilizaron un servidor privado digital (VPS) de un proveedor de nube para monitorear los dominios C2 de Gayfemboy, la botnet desató ataques DDoS recurrentes contra el VPS.
Los ataques contra el VPS, que duraron entre 10 y 30 segundos, lograron volverlo inaccesible. Cuando el proveedor de la nube detectó el comportamiento, bloqueó el tráfico hacia el VPS durante 24 horas, un testimonio de la importante potencia de fuego de la botnet, con un tráfico de ataque estimado en 100 GB.
Evolución de Gayfemboy
A pesar de las funcionalidades avanzadas de Gayfemboy, ciertos elementos de su código resaltan las raíces de los operadores en Mirai.
El bot conserva la estructura de comandos de Mirai, pero eliminó su tabla de cadenas de firma, sustituyó cadenas de texto sin formato y agregó nuevas capacidades. Por ejemplo:
- Los comandos permiten a los operadores iniciar o detener análisis, eliminar ataques activos o actualizar el propio bot.
- Tras la ejecución, el bot muestra «nos hemos ido ahoran», una línea que ha persistido en cada iteración.
Una característica peculiar es el intento de Gayfemboy de ocultarse explotando directorios grabables. Al iniciarse, el bot busca rutas de escritura, escribe un archivo de prueba y lo elimina. Si tiene éxito, monta el directorio en `/proc/
La incorporación de nuevos comandos operativos por parte de Gayfemboy permite a los atacantes lanzar campañas DDoS, descargar cargas útiles maliciosas e iniciar operaciones de escaneo, todo con precisión clara y actualizaciones consistentes.
Con una accesibilidad cada vez mayor y bajos costos, las botnets distribuidas como Gayfemboy demuestran con qué facilidad los actores maliciosos pueden evolucionar continuamente a medida que integran nuevas vulnerabilidades y métodos. El sofisticado enfoque de Gayfemboy, desde la explotación de días 0 hasta ataques estratégicos de represalia, refleja una escalada más amplia en las capacidades de las botnets modernas.
(Foto por Marek Piwnicki)
Ver también: Eseye: Persisten los desafíos de seguridad y conectividad de IoT
¿Quiere aprender sobre IoT de la mano de los líderes de la industria? Verificar Exposición de tecnología de IoT que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos Exposición de seguridad cibernética y nube, Exposición de IA y Large Knowledge, Conferencia de automatización inteligente, Exposición de informática de bordey Semana de la Transformación Digital.
Discover otros próximos eventos y seminarios internet de tecnología empresarial impulsados por TechForge aquí.
