Dominios abandonados recuperados para exponer 4.000 puertas traseras ocultas en sistemas comprometidos

Los cibercriminales suelen aprovechar las puertas traseras (puertas de enlace ocultas diseñadas para eludir las medidas de seguridad tradicionales) para mantener el acceso a los sistemas comprometidos. En un giro sorprendente, los investigadores de ciberseguridad han demostrado cómo se puede recuperar la infraestructura abandonada, como los dominios caducados, para secuestrar estas puertas traseras, lo que efectivamente les da la vuelta a la situación a los atacantes.

WatchTowr Labs reveló recientemente que logró hacerse con el control de más de 4000 puertas traseras web únicas mediante la compra de más de 40 nombres de dominio vencidos por tan solo 20 dólares cada uno. Esta iniciativa pone de relieve tanto los peligros de la infraestructura digital abandonada como las oportunidades de interrumpir la actividad maliciosa.

Cómo los dominios expirados se convirtieron en una puerta de entrada

Las puertas traseras en cuestión, muchas de ellas implementadas a través de shells web, dependían de nombres de dominio específicos para la comunicación de comando y control (C2). Cuando estos dominios expiraron o fueron abandonados por sus propietarios originales, WatchTowr Labs los adquirió y redirigió el tráfico a sus servidores, lo que en la práctica "hundió" la infraestructura maliciosa.

Esto permitió a los investigadores:

  1. Supervisar la actividad de balizamiento : los hosts comprometidos se “informan” a los dominios recientemente controlados.
  2. Mapear el alcance del compromiso : identificar miles de sistemas afectados, incluidas entidades gubernamentales y académicas.
  3. Comandar hipotéticamente los sistemas : teóricamente, podrían haber tomado el control total de los hosts comprometidos, aunque los protocolos éticos impedían tales acciones.

Las víctimas de puertas traseras secuestradas

Entre los sistemas comprometidos identificados estaban:

  • Entidades gubernamentales en Bangladesh, China y Nigeria .
  • Instituciones académicas en China, Corea del Sur y Tailandia .

Este compromiso generalizado subraya el alcance global de estas campañas de puerta trasera y las graves consecuencias de dejar sin mantenimiento una infraestructura digital crítica.

El arsenal de Web Shell

Las puertas traseras variaban en complejidad y funcionalidad. Algunos de los shells web más notables observados fueron:

  • Shells web PHP simples : capaces de ejecutar comandos individuales proporcionados por atacantes.
  • c99shell y r57shell : herramientas avanzadas para ejecutar comandos arbitrarios, operaciones con archivos e implementar cargas útiles adicionales. Incluso incluyen funciones para forzar el acceso a servidores FTP o para eliminarlos automáticamente después de su uso.
  • China Chopper : una herramienta liviana pero poderosa preferida por los grupos de amenazas persistentes avanzadas (APT), particularmente aquellos vinculados a China.

Explotación de puertas traseras dentro de puertas traseras

Curiosamente, WatchTowr Labs también descubrió casos en los que los propios web shells habían sido víctimas de una puerta trasera por parte de sus creadores. Estas modificaciones filtraron inadvertidamente información sobre sus ubicaciones, lo que permitió que otros actores de amenazas tomaran el control de los sistemas comprometidos.

Los riesgos de los dominios abandonados

Esta no es la primera vez que WatchTowr Labs demuestra los riesgos potenciales de una infraestructura abandonada. Anteriormente, la empresa compró un dominio de servidor WHOIS heredado para el dominio de nivel superior (TLD) .mobi. A pesar de la migración a un nuevo servidor, más de 135.000 sistemas únicos continuaron comunicándose con el dominio antiguo, lo que expuso sistemas confidenciales pertenecientes a empresas privadas, agencias gubernamentales y organizaciones militares en todo el mundo.

Los atacantes también cometen errores

El éxito de esta operación es un duro recordatorio de que los cibercriminales no son infalibles. Los dominios caducados, las vulnerabilidades sin parches y los sistemas mal mantenidos son vulnerabilidades que pueden afectar tanto a los atacantes como a los defensores.

Puntos clave para la ciberseguridad

  1. Supervisar y renovar dominios críticos : las organizaciones deben mantener el control sobre los dominios asociados con sistemas críticos para evitar su uso indebido.
  2. Auditar la infraestructura heredada : garantizar que los sistemas, dominios y servicios antiguos se desmantelen de forma segura o se migren de forma adecuada.
  3. El hundimiento de infraestructuras como estrategia defensiva : la investigación ética y las iniciativas de hundimiento de infraestructuras pueden ayudar a mitigar las amenazas actuales derivadas de infraestructuras maliciosas abandonadas.
  4. Parche y proteja las puertas traseras : los atacantes suelen reutilizar las mismas herramientas. Detecte y neutralice los shells web para evitar su posterior explotación.

Conclusión

El secuestro de 4.000 puertas traseras a través de dominios caducados revela tanto la persistencia de amenazas heredadas como las soluciones creativas disponibles para los profesionales de la ciberseguridad. Si bien la operación destaca una vulnerabilidad crítica en el ecosistema digital, también demuestra el potencial para interrumpir campañas maliciosas a través de contramedidas estratégicas.

Las organizaciones deben priorizar la gestión proactiva de la infraestructura y mantenerse alertas para evitar convertirse en víctimas de su propia negligencia. En la lucha contra el cibercrimen, incluso los activos abandonados pueden ser la clave para recuperar el control.

En Zane
January 14, 2025
Computer Security
Spanish
January 14, 2025
Computer Security

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.