I ricercatori di Cybersecurity hanno rivelato che un attore di minaccia in codice ViciousTrap ha compromesso quasi 5.300 dispositivi di bordo di rete unici in 84 paesi e li ha trasformati in una rete simile a un honeypot.
L’attore di minaccia è stato osservato che sfrutta un difetto di sicurezza critico che ha un impatto su Cisco Small Enterprise RV016, RV042, RV042G, RV082, RV320 e RV325 router (CVE-2023-20118) per corrarli in una serie di honeypots in Masse. La maggior parte delle infezioni si trova a Macao, con 850 dispositivi compromessi.
“La catena di infezione prevede l’esecuzione di uno script di shell, soprannominato Netghost, che reindirizza il traffico in arrivo da porte specifiche del router compromesso a un’infrastruttura simile a un honeypot sotto il controllo dell’attaccante che consente loro di intercettare i flussi di rete”, Sekoia ” disse In un’analisi pubblicata giovedì.
Vale la pena notare che lo sfruttamento di CVE-2023-20118 period precedentemente attribuito dalla società di sicurezza informatica francese a un’altra botnet soprannominata Poleredge.
Sebbene non vi siano show che queste due serie di attività siano collegate, si ritiene che l’attore delle minacce alla base di ViciousTrap sia probabilmente istituita infrastruttura di honeypot violando una vasta gamma di attrezzature per fatti in Web, tra cui router Soho, VPNS SSL.
“Questa configurazione consentirebbe all’attore di osservare i tentativi di sfruttamento in più ambienti e potenzialmente raccogliere exploit non pubblici o zero-day e riutilizzare l’accesso ottenuto da altri attori delle minacce”, ha aggiunto.
La catena di attacco prevede l’arma del CVE-2023-20118 per scaricare ed eseguire uno script di bash tramite FTPGET, che quindi contatta un server esterno per recuperare il binario WGET. Nel passaggio successivo, il difetto di Cisco viene sfruttato una seconda volta, usandolo per eseguire un secondo script recuperato usando il WGET precedentemente rilasciato.
Lo script di shell del secondo stadio, citato internamente come Netghost, è configurato per reindirizzare il traffico di rete dal sistema compromesso a infrastrutture di terze parti controllate dall’attaccante, facilitando così gli attacchi avversari-in-middle (AITM). Viene inoltre fornito con capacità per rimuoverti dall’host compromesso per ridurre al minimo la pista forense.
Sekoia ha affermato che tutti i tentativi di sfruttamento sono nati da un singolo indirizzo IP (“101.99.91 (.) 151”), con le prime attività risalenti a marzo 2025. In un evento degno di nota un mese dopo, si cube che gli attori ViciousTrap si siano riproposti un guscio Internet non documentato in precedenza in Polatetnet Attacchi per le proprie operazioni.
“Questa ipotesi si allinea con l’uso da parte dell’attaccante di Netghost”, hanno detto i ricercatori della sicurezza Felix Aimé e Jeremy Scion. “Il meccanismo di reindirizzamento posiziona efficacemente l’attaccante come un osservatore silenzioso, in grado di raccogliere tentativi di sfruttamento e, potenzialmente, gli accessi alla shell Internet in transito.”
Di recente questo mese, gli sforzi di sfruttamento hanno anche preso di mira i router Asus ma da un diverso indirizzo IP (“101.99,91 (.) 239”), sebbene gli attori delle minacce non siano stati trovati per creare alcun honeypot sui dispositivi infetti. Tutti gli indirizzi IP attivamente utilizzati nella campagna si trovano in Malesia e fanno parte di un sistema autonomo (AS45839) gestito dal fornitore di internet hosting Shinjiru.
Si ritiene che l’attore sia di origine di lingua cinese sulla base di una debole sovrapposizione con l’infrastruttura Gobrat e il fatto che il traffico venga reindirizzato a numerose attività a Taiwan e negli Stati Uniti.
“L’obiettivo finale di ViciousTrap rimane poco chiaro (anche se) valutiamo con grande fiducia che si tratta di una rete in stile honeypot”, ha concluso Sekoia.
