🦔 Investigadores de Black Lotus Labs de Lumen encontraron una botnet de unos 14.000 routers, en su mayoría Asus, que han sido infectados con malware llamado KadNap. Los dispositivos infectados se están utilizando como red proxy para tunelizar anónimamente el tráfico de un servicio de pago llamado Doppelganger. La mayoría de los routers comprometidos están en Estados Unidos. El malware explota vulnerabilidades no parcheadas y utiliza un diseño peer-to-peer basado en Kademlia, la misma estructura que impulsa BitTorrent, lo que lo hace altamente resistente a las eliminaciones tradicionales. Mi opinión El diseño técnico aquí merece la pena entenderlo. La mayoría de las botnets cuentan con servidores de mando centralizados que los investigadores pueden identificar y apagar. KadNap utiliza tablas hash distribuidas en su lugar, así que no hay un único punto al que dirigirse. Cada router infectado almacena partes del mapa de red y puede encontrar otros nodos sin conectarse nunca a un servidor central. La única forma de eliminarlo completamente es cortar todos los dispositivos conectados a la vez, lo cual no es realista cuando hablamos de 14.000 routers en casa. La infección persiste durante los reinicios porque el malware almacena un script de shell que se ejecuta al iniciar. Un simple reinicio no lo solucionará. Tienes que restablecer el router de fábrica, actualizar el firmware, cambiar la contraseña de administrador y desactivar el acceso remoto. La mayoría de la gente no hace nada de eso porque la mayoría no sabe que su router está comprometido. Black Lotus dice que el número de dispositivos infectados ha crecido de 10.000 a 14.000 desde agosto, así que sea lo que sea que esté pasando, no se está ralentizando. Hedgie🤗