ShadowV2: el nuevo botnet Mirai que aprovechó la caída de AWS para ensayar ataques contra dispositivos IoT

Por /
Compartir en Pinterest Compartir en WhatsApp

Un nuevo botnet basado en Mirai, bautizado como ShadowV2, ha irrumpido en la escena de la ciberseguridad utilizando un momento muy delicado como banco de pruebas: la gran caída de AWS registrada a finales de octubre de 2025. Durante unas horas, mientras numerosos servicios y webs permanecían inaccesibles por problemas en la infraestructura de Amazon, los atacantes desplegaron esta variante para explotar vulnerabilidades en routers, cámaras y otros dispositivos IoT de múltiples fabricantes, en lo que los investigadores interpretan como un ensayo general para futuras campañas a gran escala.

Aunque no existen indicios de que ShadowV2 causara la interrupción de AWS, su ventana de actividad coincidió milimétricamente con el incidente y terminó en cuanto se restableció la normalidad. Para los analistas de FortiGuard Labs (Fortinet), que han publicado el informe técnico más detallado hasta la fecha, el patrón resulta claro: alguien aprovechó el ruido mediático y el caos operativo de la caída de un gran proveedor cloud para probar silenciosamente su infraestructura maliciosa.

Un heredero de Mirai centrado en el Internet de las cosas

ShadowV2 es, en esencia, un descendiente más de Mirai, el malware que marcó un antes y un después en 2016 al secuestrar cientos de miles de dispositivos IoT para lanzar algunos de los mayores ataques DDoS de la historia. Como sus predecesores, esta nueva variante está diseñada para infectar equipos conectados de baja potencia —routers domésticos y de pequeña oficina, grabadores de vídeo, NAS y otros dispositivos empotrados— y convertirlos en “zombis” controlados de forma remota.

FortiGuard Labs sitúa el origen de los ataques observados en la dirección IP 198[.]199[.]72[.]27, desde la que se lanzaron escaneos y explotación activa contra dispositivos de fabricantes como DD-WRT, D-Link, DigiEver, TBK y TP-Link. Una vez comprometidos, los equipos descargaban el binario del malware desde un segundo servidor (81[.]88[.]18[.]108) mediante un script inicial (binary.sh) encargado de preparar el terreno en el dispositivo víctima.

Ocho vulnerabilidades encadenadas, con especial foco en dispositivos antiguos

La campaña identificada explotó al menos ocho vulnerabilidades conocidas en distintos productos IoT:

  • DD-WRT: CVE-2009-2765
  • D-Link: CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915
  • DigiEver: CVE-2023-52163
  • TBK: CVE-2024-3721
  • TP-Link: CVE-2024-53375

Algunas de estas fallas, como CVE-2024-10914, se consideran especialmente críticas: se trata de una vulnerabilidad de command injection en dispositivos D-Link antiguos (fin de vida, EoL) que la propia compañía ha confirmado que no va a corregir, al haber dejado de dar soporte y publicar firmware para esos modelos. Lo mismo ocurre con CVE-2024-10915, también ligada a equipos ya fuera de ciclo de vida, para los que D-Link recomienda expresamente su retirada y sustitución.

En el caso de TP-Link, la vulnerabilidad CVE-2024-53375 fue detallada a finales de 2024 y se habría mitigado mediante una actualización de firmware en fase beta, lo que pone de nuevo el foco en la necesidad de instalar las últimas versiones disponibles incluso en entornos domésticos y pymes.

Un ensayo global: 7 sectores y 5 continentes en el punto de mira

Los datos de telemetría recopilados por Fortinet y otras fuentes apuntan a una campaña claramente global. ShadowV2 habría impactado, en distinto grado, en organizaciones de Norteamérica, Sudamérica, Europa, África, Asia y Oceanía, con especial presencia en países como Estados Unidos, Canadá, Brasil, Reino Unido, Francia, Italia, Grecia, Sudáfrica, Turquía, Japón o Australia.

Además, no se trató de una prueba inocua sobre equipos residenciales. El tráfico malicioso observado afectó a dispositivos conectados en al menos siete sectores:

  • administraciones públicas,
  • tecnología,
  • manufactura,
  • proveedores de servicios de seguridad gestionada (MSSP),
  • telecomunicaciones,
  • educación,
  • y otros servicios corporativos.

El hecho de que la actividad se concentrara en la franja temporal de la caída de AWS —unos 15 horas, según algunas estimaciones— refuerza la hipótesis de un “test de estrés” cuidadosamente planificado: los atacantes habrían querido comprobar qué volumen de dispositivos podían comprometer y qué estabilidad tenía su infraestructura de mando y control sin llamar demasiado la atención en un momento dominado por titulares sobre la nube de Amazon.

Arquitectura Mirai con ajustes modernos: DDoS listo para alquiler

Técnicamente, ShadowV2 se presenta como “ShadowV2 Build v1.0.0 IoT version” y comparte similitudes con la variante Mirai conocida como LZRD. El binario emplea configuración codificada con XOR para ocultar rutas de archivos, cadenas de User-Agent, cabeceras HTTP y otros elementos propios de Mirai, dificultando así el análisis estático.

En cuanto a capacidades, soporta múltiples tipos de ataques de denegación de servicio distribuida (DDoS) sobre UDP, TCP y HTTP, con diferentes modos de inundación (flood) para adaptarse al objetivo y al ancho de banda disponible. El modelo operativo sigue el patrón clásico:

  1. El dispositivo IoT se infecta tras explotar una vulnerabilidad.
  2. El bot se registra en la infraestructura de comando y control (C2).
  3. Cuando los operadores lo deciden, lanzan órdenes a cientos o miles de bots a la vez para iniciar un ataque DDoS contra el objetivo seleccionado.

A día de hoy no se conoce la identidad del grupo detrás de ShadowV2 ni su estrategia concreta de monetización, pero lo esperable es que siga los pasos de otros botnets Mirai: alquiler de capacidad de ataque a terceros o chantaje directo a organizaciones mediante extorsión (“paga o seguimos tumbando tu servicio”).

Lecciones para empresas y usuarios: el talón de Aquiles sigue siendo el IoT

Más allá de la anécdota de haber coincidido con una gran caída de la nube de AWS, ShadowV2 deja varias lecciones incómodas para el ecosistema tecnológico:

  • El IoT sigue siendo el eslabón más débil. Muchos routers, cámaras IP, grabadores de vídeo y NAS siguen desplegándose con firmwares antiguos, contraseñas por defecto y sin una política clara de actualización o sustitución.
  • Los dispositivos fin de vida son un riesgo estructural. Cuando un fabricante declara EoL/EOS, deja de publicar parches. Mantener esos equipos conectados a internet equivale a dejar una puerta abierta permanente, como evidencian los casos de D-Link.
  • Los atacantes saben aprovechar las “cortinas de humo”. Grandes incidentes —como una caída masiva de una nube pública— pueden servir de cobertura perfecta para pruebas y operaciones paralelas, sabiendo que la atención mediática y de muchos equipos de respuesta estará centrada en otro sitio.

Para reducir el riesgo frente a botnets como ShadowV2, los expertos recomiendan:

  • Inventariar y segmentar todos los dispositivos IoT, aislándolos de redes críticas.
  • Retirar o reemplazar equipos que ya no reciben actualizaciones de seguridad.
  • Mantener firmware y configuraciones al día, desactivando servicios innecesarios de administración remota.
  • Implementar IPS/IDS y soluciones de monitorización capaces de detectar patrones de escaneo, tráfico anómalo y conexiones hacia C2 conocidos.
  • Valorar servicios de protección DDoS para organizaciones expuestas a internet, especialmente en sectores sensibles.

ShadowV2 no ha provocado, por ahora, un gran apagón global. Pero su breve aparición durante la caída de AWS funciona como un aviso: el ecosistema Mirai sigue evolucionando y perfeccionándose, y los dispositivos IoT mal gestionados continúan siendo una materia prima abundante y barata para los ciberdelincuentes.

Fuente: bleepingcomputer

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio