{"id":596,"date":"2026-04-18T07:30:46","date_gmt":"2026-04-18T07:30:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/18\/la-variante-nexcorium-de-mirai-aprovecha-cve-2024-3721-para-secuestrar-dvr-tbk-para-botnet-ddos-cyberdefensa-mx\/"},"modified":"2026-04-18T07:30:46","modified_gmt":"2026-04-18T07:30:46","slug":"la-variante-nexcorium-de-mirai-aprovecha-cve-2024-3721-para-secuestrar-dvr-tbk-para-botnet-ddos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/18\/la-variante-nexcorium-de-mirai-aprovecha-cve-2024-3721-para-secuestrar-dvr-tbk-para-botnet-ddos-cyberdefensa-mx\/","title":{"rendered":"La variante Nexcorium de Mirai aprovecha CVE-2024-3721 para secuestrar DVR TBK para botnet DDoS \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los actores de amenazas est\u00e1n explotando fallas de seguridad en TBK DVR y enrutadores Wi-Fi TP-Link al final de su vida \u00fatil (EoL) para implementar variantes de Mirai-botnet en dispositivos comprometidos, seg\u00fan los hallazgos de Fortinet FortiGuard Labs y Palo Alto Networks Unit 42.<\/p>\n

Se ha descubierto que el ataque dirigido a dispositivos TBK DVR explota CVE-2024-3721<\/a> (Puntuaci\u00f3n CVSS: 6,3), una vulnerabilidad de inyecci\u00f3n de comandos de gravedad media que afecta a los dispositivos de grabaci\u00f3n de v\u00eddeo digital TBK DVR-4104 y DVR-4216, para ofrecer una variante de Mirai llamada Nexcorio<\/b>.<\/p>\n

\u00abLos dispositivos IoT son cada vez m\u00e1s objetivos principales para ataques a gran escala debido a su uso generalizado, la falta de parches y, a menudo, configuraciones de seguridad d\u00e9biles\u00bb, afirma el investigador de seguridad Vincent Li. dicho<\/a>. \u00abLos actores de amenazas contin\u00faan explotando vulnerabilidades conocidas para obtener acceso inicial e implementar malware que puede persistir, propagarse y causar ataques distribuidos de denegaci\u00f3n de servicio (DDoS)\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Esta no es la primera vez que se explota la vulnerabilidad en la naturaleza. Durante el a\u00f1o pasado, el problema de seguridad se aprovech\u00f3 para implementar una variante de Mirai, as\u00ed como una botnet distinta y relativamente nueva llamada RondoDox. En septiembre de 2025, CloudSEK tambi\u00e9n revelado<\/a> detalles de una botnet de carga como servicio a gran escala que ha estado distribuyendo RondoDox<\/a>Mirai y Morte se cargan a trav\u00e9s de credenciales d\u00e9biles y fallas antiguas en enrutadores, dispositivos IoT y aplicaciones empresariales.<\/p>\n

La actividad de ataque descrita por Fortinet implica la explotaci\u00f3n de CVE-2024-3721 para obtener y soltar un script de descarga, que luego lanza la carga \u00fatil de la botnet basada en la arquitectura del sistema Linux. Una vez que se ejecuta el malware, muestra un mensaje que dice \u00abnexuscorp ha tomado el control\u00bb.<\/p>\n

\u00abNexcorium tiene una arquitectura similar a la variante Mirai, incluida la inicializaci\u00f3n de la tabla de configuraci\u00f3n codificada XOR, el m\u00f3dulo de vigilancia y el m\u00f3dulo de ataque DDoS\u00bb, dijo el proveedor de seguridad.<\/p>\n

El malware tambi\u00e9n incluye un exploit para CVE-2017-17215 para apuntar a dispositivos Huawei HG532 en la red e incorpora una lista de nombres de usuario y contrase\u00f1as codificados para usar en ataques de fuerza bruta dirigidos a los hosts de la v\u00edctima al abrir una conexi\u00f3n Telnet.<\/p>\n

Si el inicio de sesi\u00f3n Telnet es exitoso, intenta obtener un shell, configurar la persistencia usando crontab y el servicio systemd, y conectarse a un servidor externo para esperar comandos para lanzar ataques DDoS a trav\u00e9s de UDP, TCP y SMTP. Una vez que se establece la persistencia en el dispositivo, el malware elimina el binario descargado original para evadir el an\u00e1lisis.<\/p>\n

\u00abEl malware Nexcorium muestra rasgos t\u00edpicos de las botnets modernas centradas en IoT, combinando explotaci\u00f3n de vulnerabilidades, soporte para m\u00faltiples arquitecturas y varios m\u00e9todos de persistencia para mantener el acceso a largo plazo a los sistemas infectados\u00bb, dijo Fortinet. \u00abSu uso de exploits conocidos, como CVE-2017-17215, junto con amplias capacidades de fuerza bruta, subraya su adaptabilidad y eficacia para aumentar el alcance de la infecci\u00f3n\u00bb.<\/p>\n

El desarrollo viene como Unidad 42. dicho<\/a> detect\u00f3 exploraciones y sondas activas y automatizadas que intentaban explotar CVE-2023-33538 (puntuaci\u00f3n CVSS: 8,8), una vulnerabilidad de inyecci\u00f3n de comandos que afecta a los enrutadores inal\u00e1mbricos TP-Link de EoL, aunque utiliza un enfoque defectuoso que no resulta en un compromiso exitoso.<\/p>\n

Vale la pena se\u00f1alar que la falla de seguridad se agreg\u00f3 al cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en junio de 2025. La vulnerabilidad afecta a los siguientes modelos:<\/p>\n