La alerta emitida por la agencia norteamericana indica que los enrutadores sin soporte están siendo convertidos en servidores proxy para ocultar operaciones criminales y ciberataques patrocinados por estados.
El FBI ha emitido un anuncio urgente sobre una creciente campaña de malware dirigida a enrutadores que han llegado al final de su vida útil (EoL, End of Life) ). Según la agencia, estos dispositivos están siendo utilizados por actores de amenazas para crear redes de proxies maliciosos, vendidos a través de plataformas como 5Socks y Anyproxy.
«Con la red 5Socks y Anyproxy, los delincuentes están vendiendo acceso a enrutadores comprometidos como servidores proxy para que los clientes los compren y usen», señala el aviso del FBI. Este acceso permite a los cibercriminales ocultar su identidad, redirigir tráfico malicioso y ejecutar ciberataques de forma encubierta.
Entre los modelos de enrutadores identificados como objetivos frecuentes se incluyen múltiples dispositivos antiguos de Linksys, como los E1200, E2500, E4200, E1550 y WRT310N, además de unidades de Cisco (M10) y Cradlepoint (E100). Estos dispositivos ya no reciben actualizaciones de seguridad, lo que los deja expuestos a exploits disponibles públicamente.
Una vez que los atacantes comprometen estos enrutadores, instalan una variante del malware TheMoon, la cual permite convertirlos en servidores proxy dentro de una botnet. “Los enrutadores al final de su vida útil fueron vulnerados por actores cibernéticos que utilizaron variantes de la botnet de malware TheMoon”, confirma un boletín técnico de la agencia.
Estos dispositivos comprometidos se conectan a servidores de comando y control (C2) desde donde reciben instrucciones para ejecutar tareas adicionales, como escanear y atacar otros dispositivos vulnerables. Los proxies creados mediante este sistema han sido utilizados para evasión durante el robo de criptomonedas, operaciones de cibercrimen por encargo y espionaje encubierto.
De acuerdo al FBI, actores maliciosos vinculados al gobierno chino han explotado vulnerabilidades conocidas en estos equipos para atacar infraestructura crítica de los Estados Unidos, demostrando que esta amenaza no solo es criminal, sino también geopolítica.
El compromiso de los routers suele pasar desapercibido, pero algunos signos de alerta incluyen sobrecalentamiento, rendimiento degradado, cambios inesperados en la configuración, aparición de usuarios administrativos no autorizados o puntas inusuales en el tráfico de red.
Para mitigar los riesgos, el FBI recomienda reemplazar inmediatamente los router obsoletos por modelos modernos con soporte activo. Si esto no es posible, se deben aplicar las últimas actualizaciones de firmware desde el portal oficial del fabricante, cambiar las credenciales predeterminadas del administrador y desactivar el acceso remoto.
Finalmente, la agencia ha compartido una lista de indicadores de compromiso asociados a este tipo de infecciones, instando a empresas y usuarios a revisar sus redes y tomar medidas inmediatas al respecto.