Pesquisadores de cibersegurança revelaram que um ator de ameaça, codinome ViciousTrap, comprometeu cerca de 5.300 dispositivos de borda de rede únicos em 84 países e os transformou em uma rede semelhante a uma honeypot.
O ator de ameaça tem explorado uma falha de segurança crítica que afeta os roteadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 e RV325 (
CVE-2023-20118
) para agrupá-los em um conjunto de honeypots em massa.
A maioria das infecções está localizada em Macau, com 850 dispositivos comprometidos.
"A cadeia de infecção envolve a execução de um script shell, apelidado de NetGhost, que redireciona o tráfego de entrada de portas específicas do roteador comprometido para uma infraestrutura semelhante a honeypot sob o controle do atacante, permitindo-lhes interceptar fluxos de rede", disse a Sekoia em uma análise publicada na quinta-feira.
Vale ressaltar que a exploração do
CVE-2023-20118
foi previamente atribuída pela empresa francesa de cibersegurança a outro botnet denominado PolarEdge.
Embora não haja evidências de que esses dois conjuntos de atividades estejam conectados, acredita-se que o ator de ameaça por trás do ViciousTrap provavelmente esteja configurando infraestrutura honeypot violando uma ampla gama de equipamentos voltados para a internet, incluindo roteadores SOHO, SSL VPNs, DVRs e controladores BMC de mais de 50 marcas como Araknis Networks, ASUS, D-Link, Linksys e QNAP.
"Essa configuração permitiria ao ator observar tentativas de exploração em vários ambientes e potencialmente coletar exploits não públicos ou zero-day, e reutilizar o acesso obtido por outros atores de ameaça", acrescentou.
A cadeia de ataque implica na armação do
CVE-2023-20118
para baixar e executar um script bash via ftpget, que então contata um servidor externo para buscar o binário wget.
No passo seguinte, a falha da Cisco é explorada uma segunda vez, usada para executar um segundo script recuperado usando o wget anteriormente baixado.
O segundo script shell, referenciado internamente como NetGhost, é configurado para redirecionar o tráfego de rede do sistema comprometido para infraestrutura de terceiros controlada pelo atacante, facilitando assim ataques adversary-in-the-middle (AitM).
Ele também vem com capacidades para se remover do host comprometido para minimizar rastros forenses.
A Sekoia disse que todas as tentativas de exploração partiram de um único endereço IP ("101.99.91[.]151"), com a atividade mais antiga datando de março de 2025.
Em um evento notável observado um mês depois, os atores do ViciousTrap supostamente reutilizaram um web shell não documentado previamente empregado nos ataques do botnet PolarEdge para suas próprias operações.
"Essa suposição alinha-se com o uso do NetGhost pelo atacante", disseram os pesquisadores de segurança Felix Aimé e Jeremy Scion.
O mecanismo de redirecionamento posiciona efetivamente o atacante como um observador silencioso, capaz de coletar tentativas de exploração e, potencialmente, acessos de web shell em trânsito.
Tão recentemente quanto este mês, esforços de exploração também visaram roteadores ASUS, mas a partir de um endereço IP diferente ("101.99.91[.]239"), embora os atores de ameaça não tenham sido encontrados criando qualquer honeypot nos dispositivos infectados.
Todos os endereços IP ativamente usados na campanha estão localizados na Malásia e fazem parte de um Sistema Autônomo (AS45839) operado pelo provedor de hospedagem Shinjiru.
Acredita-se que o ator seja de origem falante de chinês, com base numa sobreposição fraca com a infraestrutura GobRAT e o fato de que o tráfego é redirecionado para vários ativos em Taiwan e nos Estados Unidos.
"O objetivo final do ViciousTrap permanece incerto, embora avaliamos com alta confiança que se trata de uma rede estilo honeypot", concluiu a Sekoia.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...