Investigadores en ciberseguridad han detectado una amenaza emergente y altamente sofisticada dirigida al ecosistema de Internet de las Cosas (IoT). Se trata de PumaBot, una botnet de Linux desarrollada en Go que representa un riesgo considerable para organizaciones con dispositivos IoT vulnerables, especialmente aquellos en sistemas de vigilancia.
A diferencia del malware tradicional que realiza escaneos amplios en internet, PumaBot emplea una estrategia de ataque más dirigida y sigilosa para comprometer dispositivos embebidos con sistemas operativos Linux. Su metodología de ataque se centra en la fuerza bruta de credenciales SSH, pero con una particularidad que la distingue de las botnets convencionales: en lugar de escanear la red indiscriminadamente, PumaBot obtiene listas específicas de direcciones IP de sus servidores de comando y control. Esto le permite concentrar sus esfuerzos en dispositivos vulnerables específicos, evadiendo al mismo tiempo los mecanismos de detección diseñados para identificar actividades de escaneo masivo.
Los analistas de PolySwarm identificaron PumaBot durante operaciones recientes de investigación de amenazas, destacando sus sofisticadas capacidades de evasión y su enfoque específico para comprometer el IoT.
Los investigadores observaron que el malware demuestra un interés particular en los sistemas de vigilancia y cámaras de tráfico, incorporando una lógica de huellas dactilares específica para detectar dispositivos fabricados por Pumatronix, una empresa de equipos de vigilancia.
Una vez que PumaBot se infiltra con éxito en un sistema objetivo a través de credenciales SSH comprometidas, inmediatamente comienza a establecer mecanismos de persistencia diseñados para sobrevivir a reinicios del sistema y barridos de seguridad.
El objetivo principal parece ser la minería de criptomonedas, y los investigadores observaron que comandos como «xmrig» y «networkxm» se ejecutan en dispositivos comprometidos para generar ganancias ilícitas para los operadores.
La aparición de la botnet resalta la creciente vulnerabilidad de los ecosistemas de IoT, donde las credenciales predeterminadas y las malas prácticas de seguridad crean objetivos atractivos para los ciberdelincuentes que buscan monetizar los recursos informáticos comprometidos.
El proceso de infección de PumaBot demuestra una notable sofisticación en su estrategia de persistencia. Después de obtener acceso inicial mediante fuerza bruta SSH, el malware se escribe en directorios del sistema como /lib/redis, haciéndose pasar deliberadamente por un software de base de datos legítimo de Redis.
Este engaño se extiende a la creación de archivos de servicio systemd con nombres como redis.service o mysql.service, en particular usando una «I» en mayúscula para imitar los servicios MySQL y garantizar el inicio automático durante la inicialización del sistema.
El malware recopila información completa del sistema mediante comandos como uname -a, recopilando detalles sobre el sistema operativo, la versión del kernel y la arquitectura.
Una vez obtenida, esta información, junto con las credenciales de los dispositivos comprometidos, se transmite a los servidores de comando y control. Esta comunicación se realiza mediante encabezados HTTP personalizados en formato JSON. De esta manera, los operadores pueden mantener un inventario detallado de los dispositivos vulnerados y sus funcionalidades.
