La botnet Androxgh0st amplía su alcance y explota servidores de universidades estadounidenses.

Nuevos hallazgos de CloudSEK muestran la evolución de la botnet Androxgh0st. Instituciones académicas, como la UC San Diego, se vieron afectadas. Descubra cómo esta sofisticada amenaza utiliza RCE y shells web, y los pasos para protegerse.

Una investigación reciente de CloudSEK, compartida con Hackread.com, revela una importante evolución en las operaciones de la botnet Androxgh0st , demostrando un marcado aumento en su capacidad para comprometer sistemas. La botnet, observada por primera vez a principios de 2023, ahora utiliza una gama más amplia de métodos de acceso inicial, incluyendo la explotación de servidores mal configurados pertenecientes a instituciones académicas.

Cabe destacar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) también emitió un aviso de seguridad en enero de 2024, generando conciencia sobre la expansión de Androxgh0st.

Los hallazgos de CloudSEK indican que la botnet ha ampliado su arsenal de vectores de ataque en aproximadamente un 50 % desde un informe anterior de 2024. Un descubrimiento preocupante fue un panel de registro de comando y control (C2) alojado en un subdominio de la Universidad de California en San Diego ("USArhythms"). Está asociado con contenido de la Selección Nacional Masculina Sub-19 de Baloncesto de EE. UU.

Esto muestra una tendencia en la que los operadores de botnets utilizan dominios públicos legítimos, pero vulnerables, para alojar su infraestructura maliciosa, lo que dificulta su detección. Anteriormente, CloudSEK también informó que la botnet alojaba su registrador en una plataforma jamaiquina de agregación de eventos.

La botnet Androxgh0st explota vulnerabilidades conocidas en frameworks de software populares como Apache Shiro y Spring Framework, además de problemas en plugins de WordPress y dispositivos IoT de Lantronix. Estas vulnerabilidades tienen graves consecuencias, como la posibilidad de ejecutar código no autorizado, robar información confidencial e incluso iniciar la minería de criptomonedas en sistemas comprometidos.

CloudSEK había predicho en su primer informe que los operadores de Androxgh0st introducirían nuevos programas maliciosos en sus herramientas a mediados de 2025, una predicción que ahora parece estar cumpliéndose.

Según el informe de la compañía, la botnet Androxgh0st obtiene acceso inicial a través de varios vectores de acceso inicial (IAV), que son las vías de acceso a un sistema. Una vez dentro, los atacantes se comunican con los dispositivos comprometidos mediante servidores de comando y control (C2). Un objetivo clave es la ejecución remota de código (RCE), lo que les permite ejecutar su propio código en ordenadores remotos.

Esto suele lograrse mediante métodos complejos como la inyección JNDI y la inyección OGNL, especialmente eficaces contra aplicaciones basadas en Java. Estas técnicas avanzadas permiten a Androxgh0st eludir la seguridad y mantener un control persistente, frecuentemente mediante la instalación de webshells.

Ante estos acontecimientos, se insta a las organizaciones, especialmente a las instituciones académicas y a quienes utilizan el software afectado, a tomar medidas inmediatas. CloudSEK recomienda parchear todos los sistemas vulnerables a los CVE identificados, como los que afectan a Spring4Shell y Apache Shiro.

Restringir el tráfico de red saliente para ciertos protocolos como RMI, LDAP y JNDI también es crucial. Auditar regularmente los plugins del sitio web, como Popup Maker en WordPress, y monitorear la actividad inusual de los archivos son pasos vitales para prevenir y detectar vulnerabilidades de Androxgh0st.

“Pasando de su enfoque anterior en campañas de vigilancia masiva vinculadas a China a una estrategia de explotación mucho más amplia, ahora observamos que la botnet incorpora agresivamente una gama más amplia de vulnerabilidades de alto impacto, incluyendo la inyección de JNDI, la explotación de OGNL, incluyendo CVE vinculados a marcos como Apache Shiro, Spring y Fastjson”, dijo Koushik Pal, Investigación de Amenazas, CloudSEK.