Investigadores en ciberseguridad han descubierto que un actor de amenazas identificado como ViciousTrap ha comprometido cerca de 5.300 dispositivos de borde de red en 84 países, transformándolos en una infraestructura que simula un honeypot global.
Este grupo malicioso ha estado aprovechando una vulnerabilidad crítica (CVE-2023-20118) que afecta a varios modelos de routers Cisco Small Business —incluidos los RV016, RV042, RV042G, RV082, RV320 y RV325— para integrar masivamente estos equipos en su red trampa. Macao ha sido el principal foco de infecciones, con aproximadamente 850 dispositivos comprometidos.
Según un análisis de la firma Sekoia, el ataque se basa en la ejecución de un script de shell llamado NetGhost, que redirige el tráfico entrante desde puertos específicos de los routers comprometidos hacia una infraestructura de honeypot controlada por el atacante. Esta maniobra permite al grupo interceptar el flujo de datos y espiar la actividad de red.
Cabe destacar que esta misma vulnerabilidad había sido previamente atribuida a la botnet PolarEdge, aunque hasta el momento no existe evidencia concluyente que vincule directamente ambas campañas. No obstante, los expertos creen que ViciousTrap está montando una red de observación digital aprovechando la explotación masiva de dispositivos conectados a Internet, como routers SOHO, VPNs SSL, DVRs y controladores BMC, de más de 50 fabricantes, entre ellos ASUS, D-Link, QNAP, Araknis Networks y Linksys.
El objetivo de esta operación parece ser observar intentos de explotación en diferentes entornos, recolectar potencialmente exploits inéditos o vulnerabilidades zero-day, y reutilizar accesos obtenidos por otros actores maliciosos.
El proceso de infección comienza con la explotación de CVE-2023-20118 para descargar y ejecutar un script Bash mediante ftpget. Luego, este script contacta con un servidor externo para obtener el binario wget, que se emplea para descargar y ejecutar un segundo script malicioso, repitiendo la explotación inicial. Esta segunda etapa, también operada por NetGhost, redirige el tráfico de red hacia servidores controlados por el atacante, posibilitando ataques del tipo man-in-the-middle (AitM), y se autodestruye para borrar rastros forenses.
Sekoia ha rastreado todos los intentos de explotación hasta una única dirección IP (101.99.91[.]151), con actividad iniciada en marzo de 2025. En abril, se observó que ViciousTrap reutilizó un web shell no documentado previamente vinculado a PolarEdge, posiblemente como parte de su arsenal propio.
“El mecanismo de redirección utilizado por NetGhost convierte al atacante en un observador silencioso, capaz de recopilar intentos de explotación y posibles accesos a shells web en tránsito”, explicaron los investigadores Felix Aimé y Jeremy Scion.
En el mismo mes, se detectaron intentos similares contra routers ASUS desde otra dirección IP (101.99.91[.]239), aunque no se observó la creación de honeypots en esos dispositivos. Todas las IPs empleadas en la campaña están ubicadas en Malasia y pertenecen al sistema autónomo AS45839, operado por el proveedor de hosting Shinjiru.
Por último, se sospecha que el grupo detrás de ViciousTrap es de origen chino-hablante, basándose en coincidencias con la infraestructura usada por GobRAT y en el hecho de que el tráfico redirigido se dirige mayormente a activos en Taiwán y Estados Unidos.
Aunque el objetivo final de ViciousTrap no está del todo claro, Sekoia sostiene con un alto grado de certeza que se trata de una red avanzada de honeypots con fines de vigilancia y recolección de inteligencia cibernética.
Fuentes: thehackernews.com
