La botnet RapperBot ha logrado una expansión considerable, con investigadores de seguridad registrando más de 50,000 infecciones activas en dispositivos de red a nivel mundial.
Esta compleja campaña de malware se posiciona como una de las ciberamenazas más persistentes y dinámicas que afectan la infraestructura global conectada a internet. Desde su surgimiento, ha demostrado una notable capacidad de adaptación y avance técnico.
Aunque sus actividades fueron reportadas inicialmente por CNCERT en julio de 2022, investigaciones previas sugieren que RapperBot ya operaba desde 2021.
La botnet ha mostrado una evolución continua a través de diversas variantes, con los investigadores identificando siete iteraciones distintas tan solo en el último año.
Lo que distingue a RapperBot de las botnets típicas es su naturaleza provocativa, en la que los autores de malware incorporan mensajes burlones y referencias a la música rap, incluidos enlaces a canciones y desafíos dirigidos a investigadores de seguridad.
Los analistas de Qi’anxin X Lab identificaron que RapperBot recientemente ha escalado más allá de los tradicionales ataques distribuidos de denegación de servicio para incluir tácticas de extorsión, exigiendo $5,000 en criptomonedas Monero a las víctimas para evitar ataques continuos.
La botnet ha demostrado su capacidad al apuntar a plataformas de alto perfil, incluido el servicio de inteligencia artificial DeepSeek durante febrero de 2025 y la plataforma de redes sociales Twitter a mediados de marzo.
El análisis geográfico revela que China enfrenta la mayor concentración de ataques, aunque el alcance de la botnet se extiende globalmente a varios sectores industriales, incluidos la administración pública, la manufactura y los servicios financieros.
La escala de la infección se hizo evidente cuando los investigadores registraron proactivamente nombres de dominio de comando y control no utilizados, revelando poblaciones máximas de bots que superaban las 50.000 direcciones IP únicas.
Los objetivos principales incluyen dispositivos de IoT con acceso a redes públicas, en particular cámaras de red, enrutadores domésticos y equipos de redes empresariales que generalmente poseen credenciales predeterminadas débiles o vulnerabilidades de firmware sin parches.
RapperBot emplea un enfoque de múltiples vectores para el compromiso inicial del dispositivo, aprovechando principalmente credenciales Telnet débiles combinadas con la explotación de vulnerabilidades de seguridad conocidas.
La botnet apunta sistemáticamente a los dispositivos mediante un escaneo automatizado en busca de credenciales de autenticación predeterminadas o fácilmente adivinables, una técnica que demuestra ser notablemente efectiva contra infraestructuras de IoT mal protegidas.
El arsenal de explotación de vulnerabilidades del malware abarca una amplia gama de tipos de dispositivos y fabricantes. Las vulnerabilidades críticas incluyen CNVD-2021-79445 que afecta a los dispositivos Ruijie NBR700, CVE-2021-46229 dirigida a los enrutadores D-Link Di-7200G y CVE-2023-4473 que explota los sistemas Zyxel NAS326.
Otros vectores de ataque se dirigen a los sistemas KGUARD DVR a través de vulnerabilidades TCP_MSGHEAD_CMD, dispositivos Reolink a través de fallas de ejecución remota de código BaiChuan y varios sistemas CCTV-DVR de múltiples proveedores.
La infraestructura de comando y control de la botnet utiliza un innovador sistema de registro DNS-TXT para la comunicación C2, empleando algoritmos de cifrado personalizados que han evolucionado a lo largo de múltiples iteraciones de campaña.
