Los actores de amenazas están explotando fallas de seguridad en TBK DVR y enrutadores Wi-Fi TP-Link al final de su vida útil (EoL) para implementar variantes de Mirai-botnet en dispositivos comprometidos, según los hallazgos de Fortinet FortiGuard Labs y Palo Alto Networks Unit 42.

Se ha descubierto que el ataque dirigido a dispositivos TBK DVR explota CVE-2024-3721 (Puntuación CVSS: 6,3), una vulnerabilidad de inyección de comandos de gravedad media que afecta a los dispositivos de grabación de vídeo digital TBK DVR-4104 y DVR-4216, para ofrecer una variante de Mirai llamada Nexcorio.

«Los dispositivos IoT son cada vez más objetivos principales para ataques a gran escala debido a su uso generalizado, la falta de parches y, a menudo, configuraciones de seguridad débiles», afirma el investigador de seguridad Vincent Li. dicho. «Los actores de amenazas continúan explotando vulnerabilidades conocidas para obtener acceso inicial e implementar malware que puede persistir, propagarse y causar ataques distribuidos de denegación de servicio (DDoS)».

Esta no es la primera vez que se explota la vulnerabilidad en la naturaleza. Durante el año pasado, el problema de seguridad se aprovechó para implementar una variante de Mirai, así como una botnet distinta y relativamente nueva llamada RondoDox. En septiembre de 2025, CloudSEK también revelado detalles de una botnet de carga como servicio a gran escala que ha estado distribuyendo RondoDoxMirai y Morte se cargan a través de credenciales débiles y fallas antiguas en enrutadores, dispositivos IoT y aplicaciones empresariales.

La actividad de ataque descrita por Fortinet implica la explotación de CVE-2024-3721 para obtener y soltar un script de descarga, que luego lanza la carga útil de la botnet basada en la arquitectura del sistema Linux. Una vez que se ejecuta el malware, muestra un mensaje que dice «nexuscorp ha tomado el control».

«Nexcorium tiene una arquitectura similar a la variante Mirai, incluida la inicialización de la tabla de configuración codificada XOR, el módulo de vigilancia y el módulo de ataque DDoS», dijo el proveedor de seguridad.

El malware también incluye un exploit para CVE-2017-17215 para apuntar a dispositivos Huawei HG532 en la red e incorpora una lista de nombres de usuario y contraseñas codificados para usar en ataques de fuerza bruta dirigidos a los hosts de la víctima al abrir una conexión Telnet.

Si el inicio de sesión Telnet es exitoso, intenta obtener un shell, configurar la persistencia usando crontab y el servicio systemd, y conectarse a un servidor externo para esperar comandos para lanzar ataques DDoS a través de UDP, TCP y SMTP. Una vez que se establece la persistencia en el dispositivo, el malware elimina el binario descargado original para evadir el análisis.

«El malware Nexcorium muestra rasgos típicos de las botnets modernas centradas en IoT, combinando explotación de vulnerabilidades, soporte para múltiples arquitecturas y varios métodos de persistencia para mantener el acceso a largo plazo a los sistemas infectados», dijo Fortinet. «Su uso de exploits conocidos, como CVE-2017-17215, junto con amplias capacidades de fuerza bruta, subraya su adaptabilidad y eficacia para aumentar el alcance de la infección».

El desarrollo viene como Unidad 42. dicho detectó exploraciones y sondas activas y automatizadas que intentaban explotar CVE-2023-33538 (puntuación CVSS: 8,8), una vulnerabilidad de inyección de comandos que afecta a los enrutadores inalámbricos TP-Link de EoL, aunque utiliza un enfoque defectuoso que no resulta en un compromiso exitoso.

Vale la pena señalar que la falla de seguridad se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en junio de 2025. La vulnerabilidad afecta a los siguientes modelos:

• TL-WR940N v2 y v4
• TL-WR740N v1 y v2
• TL-WR841N v8 y v10

«Aunque los ataques en estado salvaje que observamos tenían fallas y fallarían, nuestro análisis confirma que la vulnerabilidad subyacente es real», dijeron los investigadores Asher Davila, Malav Vyas y Chris Navarrete. «La explotación exitosa requiere autenticación en la interfaz web del enrutador».

Los ataques, en este caso, intentan implementar un malware botnet similar a Mirai, cuyo código fuente presenta numerosas referencias a la cadena «Condi». También viene equipado con la capacidad de actualizarse con una versión más nueva y actuar como un servidor web para propagar la infección a otros dispositivos que se conecten a él.

Dado que los dispositivos TP‑Link afectados ya no cuentan con soporte activo, se recomienda a los usuarios reemplazarlos por un modelo más nuevo y asegurarse de que no se utilicen las credenciales predeterminadas.

«En el futuro previsible, el panorama de la seguridad seguirá estando determinado por el riesgo persistente de credenciales predeterminadas en los dispositivos de IoT», dijo la Unidad 42. «Estas credenciales pueden convertir una vulnerabilidad limitada y autenticada en un punto de entrada crítico para determinados atacantes».