Grinex, un intercambio de criptomonedas incorporado en Kirguistán y sancionado por el Reino Unido y Estados Unidos el año pasado, dijo que suspenderá sus operaciones después de culpar a las agencias de inteligencia occidentales por un hackeo de 13,74 millones de dólares.

El intercambio dijo que fue víctima de lo que describió como un ciberataque a gran escala que tenía características de participación de una agencia de inteligencia extranjera. Este ataque provocó el robo de más de mil millones de rublos en fondos de usuarios.

«La evidencia forense digital y la naturaleza del ataque apuntan a un nivel sin precedentes de recursos y sofisticación tecnológica, capacidades típicamente disponibles exclusivamente para las agencias de estados hostiles», dijo la compañía. dicho en un comunicado publicado en su sitio web. «Los hallazgos preliminares sugieren que el ataque fue coordinado con el objetivo específico de infligir daño directo a la soberanía financiera de Rusia».

Un portavoz de la compañía continuó afirmando que la infraestructura de la bolsa había estado bajo ataque desde el comienzo de sus operaciones, y que el último acontecimiento representa un nuevo nivel de escalada destinado a desestabilizar el sector financiero nacional.

Se cree que Grinex es un cambio de marca de Garantex, un intercambio de criptomonedas que fue sancionado por el Departamento del Tesoro de EE. UU. en abril de 2022 por lavar fondos vinculados a ransomware y mercados de la red oscura como Conti e Hydra. El Tesoro renovó las sanciones contra Garantex en agosto de 2025 por procesar más de 100 millones de dólares en transacciones ilícitas y permitir el lavado de dinero.

Según el Tesoro y los detalles compartidos por las empresas de inteligencia blockchain Elliptic y TRM Labs, se dice que Garantex trasladó su base de clientes a Grinex en respuesta a las sanciones y permaneció operativo utilizando una moneda estable respaldada por rublos llamada A7A5.

En un informe publicado a principios de febrero, Elliptic también revelado que Rapira, una bolsa constituida en Georgia con una oficina en Moscú, ha participado en transacciones directas de criptoactivos hacia y desde Grinex por un total de más de 72 millones de dólares, lo que pone de relieve cómo las bolsas con vínculos con Rusia siguen permitiendo la evasión de sanciones.

La firma británica de análisis blockchain dicho El robo de activos de Grinex ocurrió el 15 de abril de 2026, alrededor de las 12:00 UTC, y los fondos robados se enviaron posteriormente a otras cuentas en las cadenas de bloques TRON o Ethereum. «Este USDT luego se convirtió en otro activo, ya sea TRX o ETH. Al hacerlo, el ladrón evitó el riesgo de que Tether congelara el USDT robado», agregó.

Laboratorios TRM tiene identificado alrededor de 70 direcciones relacionadas con el incidente, señalando que TokenSpot, un intercambio con sede en Kirguistán que probablemente opera como fachada para Grinex, se vio afectado simultáneamente.

El mismo día que Grinex sufrió la infracción, TokenSpot al corriente en su canal Telegram que la plataforma estaría temporalmente indisponible debido a mantenimiento técnico. El 16 de abril, anunciado que se habían reanudado todas las operaciones. Se estima que el atacante robó menos de 5.000 dólares de TokenSpot. Los fondos se enrutaron a través de dos direcciones de TokenSpot a la misma dirección de consolidación utilizada por las billeteras vinculadas a Grinex.

Chainalysis, en su propio desglose del incidente, dijo que los fondos de las monedas estables se cambiaron rápidamente por un token no congelable y que este «intercambio frenético» de monedas estables a tokens más descentralizados es una táctica adoptada por los malos actores para lavar sus ganancias ilícitas antes de que los activos puedan congelarse.

«Dado el estatus fuertemente sancionado del intercambio, su ecosistema restringido y el uso en cadena de las técnicas de ofuscación preferidas de Garantex, vale la pena considerar si este incidente podría ser un ataque de bandera falsa», dicho. «Ya sea que este evento represente un exploit legítimo por parte de ciberdelincuentes o una operación de bandera falsa orquestada por personas internas vinculadas a Rusia, la interrupción de Grinex asesta un golpe significativo a la infraestructura que apoya la evasión de las sanciones rusas».

Los actores de amenazas están explotando fallas de seguridad en TBK DVR y enrutadores Wi-Fi TP-Link al final de su vida útil (EoL) para implementar variantes de Mirai-botnet en dispositivos comprometidos, según los hallazgos de Fortinet FortiGuard Labs y Palo Alto Networks Unit 42.

Se ha descubierto que el ataque dirigido a dispositivos TBK DVR explota CVE-2024-3721 (Puntuación CVSS: 6,3), una vulnerabilidad de inyección de comandos de gravedad media que afecta a los dispositivos de grabación de vídeo digital TBK DVR-4104 y DVR-4216, para ofrecer una variante de Mirai llamada Nexcorio.

«Los dispositivos IoT son cada vez más objetivos principales para ataques a gran escala debido a su uso generalizado, la falta de parches y, a menudo, configuraciones de seguridad débiles», afirma el investigador de seguridad Vincent Li. dicho. «Los actores de amenazas continúan explotando vulnerabilidades conocidas para obtener acceso inicial e implementar malware que puede persistir, propagarse y causar ataques distribuidos de denegación de servicio (DDoS)».

Esta no es la primera vez que se explota la vulnerabilidad en la naturaleza. Durante el año pasado, el problema de seguridad se aprovechó para implementar una variante de Mirai, así como una botnet distinta y relativamente nueva llamada RondoDox. En septiembre de 2025, CloudSEK también revelado detalles de una botnet de carga como servicio a gran escala que ha estado distribuyendo RondoDoxMirai y Morte se cargan a través de credenciales débiles y fallas antiguas en enrutadores, dispositivos IoT y aplicaciones empresariales.

La actividad de ataque descrita por Fortinet implica la explotación de CVE-2024-3721 para obtener y soltar un script de descarga, que luego lanza la carga útil de la botnet basada en la arquitectura del sistema Linux. Una vez que se ejecuta el malware, muestra un mensaje que dice «nexuscorp ha tomado el control».

«Nexcorium tiene una arquitectura similar a la variante Mirai, incluida la inicialización de la tabla de configuración codificada XOR, el módulo de vigilancia y el módulo de ataque DDoS», dijo el proveedor de seguridad.

El malware también incluye un exploit para CVE-2017-17215 para apuntar a dispositivos Huawei HG532 en la red e incorpora una lista de nombres de usuario y contraseñas codificados para usar en ataques de fuerza bruta dirigidos a los hosts de la víctima al abrir una conexión Telnet.

Si el inicio de sesión Telnet es exitoso, intenta obtener un shell, configurar la persistencia usando crontab y el servicio systemd, y conectarse a un servidor externo para esperar comandos para lanzar ataques DDoS a través de UDP, TCP y SMTP. Una vez que se establece la persistencia en el dispositivo, el malware elimina el binario descargado original para evadir el análisis.

«El malware Nexcorium muestra rasgos típicos de las botnets modernas centradas en IoT, combinando explotación de vulnerabilidades, soporte para múltiples arquitecturas y varios métodos de persistencia para mantener el acceso a largo plazo a los sistemas infectados», dijo Fortinet. «Su uso de exploits conocidos, como CVE-2017-17215, junto con amplias capacidades de fuerza bruta, subraya su adaptabilidad y eficacia para aumentar el alcance de la infección».

El desarrollo viene como Unidad 42. dicho detectó exploraciones y sondas activas y automatizadas que intentaban explotar CVE-2023-33538 (puntuación CVSS: 8,8), una vulnerabilidad de inyección de comandos que afecta a los enrutadores inalámbricos TP-Link de EoL, aunque utiliza un enfoque defectuoso que no resulta en un compromiso exitoso.

Vale la pena señalar que la falla de seguridad se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en junio de 2025. La vulnerabilidad afecta a los siguientes modelos:

• TL-WR940N v2 y v4
• TL-WR740N v1 y v2
• TL-WR841N v8 y v10

«Aunque los ataques en estado salvaje que observamos tenían fallas y fallarían, nuestro análisis confirma que la vulnerabilidad subyacente es real», dijeron los investigadores Asher Davila, Malav Vyas y Chris Navarrete. «La explotación exitosa requiere autenticación en la interfaz web del enrutador».

Los ataques, en este caso, intentan implementar un malware botnet similar a Mirai, cuyo código fuente presenta numerosas referencias a la cadena «Condi». También viene equipado con la capacidad de actualizarse con una versión más nueva y actuar como un servidor web para propagar la infección a otros dispositivos que se conecten a él.

Dado que los dispositivos TP‑Link afectados ya no cuentan con soporte activo, se recomienda a los usuarios reemplazarlos por un modelo más nuevo y asegurarse de que no se utilicen las credenciales predeterminadas.

«En el futuro previsible, el panorama de la seguridad seguirá estando determinado por el riesgo persistente de credenciales predeterminadas en los dispositivos de IoT», dijo la Unidad 42. «Estas credenciales pueden convertir una vulnerabilidad limitada y autenticada en un punto de entrada crítico para determinados atacantes».