Contacto
¿Estás teniendo un incidente?
Contacto
Volver
Un router comprometido puede ser un puente al espionaje.
Compartir:
DefensivoTécnico
Nota 127
3
minutos

Vulnerabilidades explotadas con HitatusRAT

HiatusRAT fue descubierto por primera vez en marzo de 2023 durante una investigación de ciberseguridad que detectó actividades inusuales en redes corporativas. Este malware permite a los atacantes controlar remotamente los dispositivos infectados, interceptar comunicaciones y usar los enrutadores como puntos de acceso para actividades maliciosas.

 

El principal objetivo de HiatusRAT es infiltrarse en redes que utilizan routers vulnerables y convertirlos en herramientas de espionaje y anonimización.

 

HiatusRAT se destacó inicialmente por apuntar a enrutadores DrayTek Vigor 2960 y 3900, utilizados comúnmente en pequeñas y medianas empresas. Al explotar vulnerabilidades conocidas en estos dispositivos y aprovechar contraseñas débiles o configuraciones predeterminadas, logró infectar aproximadamente un centenar de sistemas en regiones como América del Norte, Europa y América Latina.

 

Parte de su evolución ha sido su ampliación de alcance, adaptándose a nuevas arquitecturas como ARM y x86, lo que refleja la creciente sofisticación de los actores detrás del malware. Este troyano no solo compromete la integridad de los dispositivos infectados, sino que también plantea graves riesgos para la privacidad y la seguridad de las redes a las que están conectados.

 

HiatusRAT es una clara muestra de cómo los atacantes están dirigiendo su atención hacia dispositivos de red que históricamente han sido subestimados en términos de seguridad. Su aparición subraya la necesidad de fortalecer las defensas en torno a enrutadores y dispositivos IoT, que con frecuencia representan puntos de entrada vulnerables en las infraestructuras modernas.

 

Métodos de Ataque

Los métodos de ataque del malware pueden dividirse en tres categorías principales: explotación de vulnerabilidades, abuso de configuraciones inseguras y manipulación de tráfico de red.

 

Explotación de Vulnerabilidades

Una de las principales estrategias es aprovechar vulnerabilidades conocidas en dispositivos de red. Esto incluye debilidades en el firmware de enrutadores y dispositivos IoT, muchas de las cuales han sido documentadas previamente pero no han sido parcheadas por los administradores.

Los actores detrás de HiatusRAT buscan dispositivos expuestos utilizando escaneos automatizados en grandes segmentos de direcciones IP. Una vez que encuentran dispositivos vulnerables, inyectan el malware para ganar acceso persistente.

 

Abuso de Contraseñas Débiles y Configuraciones Predeterminadas

HiatusRAT también aprovecha contraseñas predeterminadas o débiles para obtener acceso inicial a los dispositivos. Muchos enrutadores y dispositivos IoT vienen configurados con contraseñas por defecto, como «admin» o «123456», que a menudo no son modificadas por los usuarios.

El malware realiza ataques de fuerza bruta dirigidos a estas configuraciones inseguras, lo que le permite establecer una conexión inicial sin necesidad de explotar vulnerabilidades más avanzadas. Este método es especialmente efectivo contra pequeñas empresas o usuarios domésticos que no implementan medidas básicas de seguridad.

 

Manipulación y Control del Tráfico de Red

Una vez que HiatusRAT compromete un dispositivo, implementa una serie de funciones diseñadas para interceptar, analizar y redirigir el tráfico de red. Entre estas funciones destacan:

 

  • Configuración de Proxies SOCKS5: El malware establece servidores proxy en los dispositivos comprometidos, permitiendo a los atacantes redirigir tráfico malicioso a través de ellos para ocultar su origen. Esto crea redes de proxy encubiertas que pueden ser utilizadas para actividades ilegales, como la distribución de malware o ataques DDoS.
  • Captura de Tráfico en Vivo: HiatusRAT puede monitorear el tráfico que pasa a través del dispositivo comprometido, permitiendo a los atacantes capturar datos sensibles, como credenciales de inicio de sesión o información confidencial transmitida sin cifrado.
  • Persistencia y Movimientos Laterales: A través de su control del tráfico, el malware también puede identificar otros dispositivos en la red que podrían ser vulnerables, extendiendo su alcance dentro de una organización.

 

Uso de Scripts Maliciosos y Automatización

HiatusRAT incluye scripts automatizados que simplifican la instalación y configuración del malware. Esto reduce la necesidad de intervención manual por parte de los atacantes y permite que el malware se despliegue rápidamente a una gran cantidad de dispositivos.

 

 

Evolución y Actividad Reciente

Desde su primera identificación en marzo de 2023, HiatusRAT ha demostrado ser una amenaza persistente y adaptable. Este troyano de acceso remoto, diseñado inicialmente para comprometer enrutadores de nivel empresarial, ha evolucionado tanto en sus objetivos como en su alcance técnico. A continuación, se detalla una cronología de su actividad y las estrategias empleadas por los actores maliciosos detrás de este malware.

 

Marzo de 2023: Descubrimiento y Primeros Ataques

HiatusRAT fue detectado por investigadores de ciberseguridad mientras atacaba enrutadores DrayTek Vigor 2960 y 3900, dispositivos populares entre pequeñas y medianas empresas por su robustez y funcionalidad. En esta etapa inicial:

 

  • Ámbito geográfico: Los ataques se centraron en América Latina, Europa y América del Norte.
  • Cantidad de dispositivos comprometidos: Aproximadamente 100 enrutadores.
  • Propósito: Los atacantes emplearon el malware para espiar comunicaciones y desviar tráfico de red, además de utilizar los enrutadores comprometidos como proxies encubiertos.

 

Junio a Agosto de 2023: Adaptación y Nuevos Objetivos

En el verano de 2023, HiatusRAT mostró un notable avance en su desarrollo técnico. Los ciberdelincuentes introdujeron nuevas versiones del malware para extender su capacidad de ataque:

 

  • Compatibilidad ampliada: Se compilaron versiones para arquitecturas adicionales como ARM, Intel 80386 y x86-64, lo que permitió comprometer una gama más amplia de dispositivos.
  • Cambio en los objetivos: Los ataques incluyeron objetivos de alto perfil como un sistema de adquisiciones militares de los Estados Unidos y organizaciones en Taiwán, sugiriendo un posible interés en actividades de ciberespionaje estratégico.
  • Técnicas avanzadas: Los atacantes utilizaron el malware para establecer redes de espionaje más sofisticadas, destacando su capacidad para adaptarse rápidamente.

 

Marzo de 2024: Enfoque en Dispositivos IoT

La actividad más reciente de HiatusRAT revela un cambio estratégico hacia el ecosistema de dispositivos IoT, aprovechando vulnerabilidades específicas y configuraciones de seguridad débiles. Durante este período, los investigadores identificaron:

 

  • Nuevas áreas de ataque: Dispositivos IoT como cámaras web y grabadores de video digital (DVRs), particularmente aquellos de marcas chinas, se convirtieron en los principales objetivos.
  • Geografía ampliada: Las campañas de escaneo se dirigieron a dispositivos en Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido.
  • Explotación de vulnerabilidades conocidas: Entre las fallas explotadas se encuentran:
    • CVE-2017-7921: Acceso remoto no autenticado en dispositivos Dahua.
    • CVE-2018-9995: Bypass de autenticación en DVRs.
    • CVE-2021-36260: Vulnerabilidad de ejecución remota de código en cámaras Hikvision.
  • Uso de contraseñas predeterminadas: Los atacantes también se aprovecharon de configuraciones de seguridad básicas, como el uso de credenciales por defecto, para comprometer dispositivos de forma masiva.

 

 

Recomendaciones de Seguridad

HiatusRAT, al igual que otros troyanos de acceso remoto, representa una amenaza significativa para dispositivos de red empresarial y dispositivos IoT. A continuación, se detallan las mejores prácticas para protegerse contra este malware y minimizar el impacto en caso de compromiso.

 

Actualizar y Parchar Dispositivos

Mantener los dispositivos actualizados es una de las defensas más efectivas. Los fabricantes suelen lanzar parches para abordar vulnerabilidades conocidas. Las organizaciones deben:

 

  • Identificar todos los dispositivos de red en uso, incluyendo enrutadores y dispositivos IoT.
  • Aplicar los últimos parches de seguridad disponibles.
  • Considerar la sustitución de dispositivos que ya no reciban soporte del fabricante.

 

Por ejemplo, los enrutadores comprometidos en ataques anteriores (como DrayTek Vigor) pueden haberse beneficiado de actualizaciones de firmware críticas para bloquear el acceso del malware.

 

Contraseñas Fuertes y Únicas

HiatusRAT ha explotado contraseñas predeterminadas y débiles para comprometer dispositivos. Para mitigar este riesgo:

 

  • Cambiar inmediatamente contraseñas predeterminadas en todos los dispositivos de red e IoT.
  • Crear contraseñas complejas que incluyan combinaciones de letras, números y símbolos.
  • Implementar políticas de rotación de contraseñas para cuentas administrativas sensibles.

 

Un ejemplo práctico sería usar herramientas de gestión de contraseñas para generar y almacenar credenciales seguras.

 

Autenticación Multifactor (MFA)

La autenticación multifactor agrega una capa adicional de seguridad, haciendo que sea más difícil para los atacantes acceder incluso si han comprometido una contraseña. Se recomienda:

 

  • Activar MFA en todos los sistemas y dispositivos compatibles.
  • Utilizar aplicaciones autenticadoras o dispositivos físicos (como tokens) en lugar de mensajes de texto SMS, que son más vulnerables.

 

Monitoreo de Red

Un sistema de monitoreo proactivo puede identificar comportamientos anómalos asociados con HiatusRAT, como la configuración de proxies o la captura de tráfico. Las organizaciones deben:

 

  • Implementar herramientas de monitoreo de red como SIEM (Gestión de Información y Eventos de Seguridad).
  • Configurar alertas automáticas para actividades sospechosas, como tráfico hacia direcciones IP desconocidas.
  • Inspeccionar regularmente los logs para detectar señales de compromiso.

 

Por ejemplo, los proxies configurados por HiatusRAT pueden generar patrones de tráfico fuera de lo habitual que un buen sistema de monitoreo podría detectar.

 

Segmentación de Red

La segmentación de red es una estrategia efectiva para contener el alcance de un ataque. Este enfoque puede limitar el movimiento lateral del malware y proteger dispositivos críticos. Recomendaciones clave incluyen:

 

  • Dividir la red en segmentos separados según la función (por ejemplo, separar IoT de la red principal).
  • Usar listas de control de acceso (ACLs) para restringir el tráfico entre segmentos.
  • Aplicar políticas de privilegios mínimos para que los dispositivos tengan solo el acceso necesario.

 

Seguridad de Dispositivos IoT

Los dispositivos IoT son especialmente vulnerables a este tipo de ataques. Las organizaciones deben:

 

  • Elegir dispositivos de fabricantes que prioricen la seguridad y proporcionen soporte continuo.
  • Desactivar servicios o funciones innecesarias para reducir la superficie de ataque.
  • Aislar los dispositivos IoT en una red dedicada, separada de la infraestructura empresarial.

 

Capacitación y Concienciación

Finalmente, los empleados deben estar capacitados para reconocer amenazas como HiatusRAT. Programas regulares de capacitación en ciberseguridad pueden incluir:

 

  • Identificación de correos de phishing que intenten comprometer credenciales.
  • Mejores prácticas para la gestión de dispositivos de red.
  • Simulaciones de ataques para evaluar y mejorar la preparación organizacional.

 

Estas medidas, implementadas de manera conjunta, pueden fortalecer significativamente la seguridad de las infraestructuras contra amenazas avanzadas como HiatusRAT, protegiendo tanto a las organizaciones como a los usuarios finales.

 

Conclusión

La aparición y evolución de HiatusRAT destaca un desafío creciente en el panorama de la ciberseguridad: la vulnerabilidad de los dispositivos de red y el Internet de las Cosas (IoT). Este malware no solo ha demostrado ser capaz de explotar fallas técnicas, sino también de adaptarse rápidamente a nuevas arquitecturas y objetivos. Su capacidad para capturar tráfico, establecer redes proxy encubiertas y comprometer infraestructuras críticas subraya la importancia de fortalecer nuestras defensas cibernéticas.

 

El caso de HiatusRAT nos recuerda que la ciberseguridad no es estática. Los actores maliciosos están constantemente innovando, utilizando herramientas avanzadas para vulnerar sistemas que a menudo son pasados por alto, como enrutadores y dispositivos IoT. Esto exige un enfoque proactivo por parte de organizaciones y usuarios, que debe incluir actualizaciones regulares, la implementación de contraseñas fuertes, la adopción de autenticación multifactor (MFA) y el monitoreo continuo de redes.

 

Además, HiatusRAT es una señal de alerta para los fabricantes de hardware, quienes deben priorizar la seguridad en el diseño de sus productos. A medida que el IoT sigue expandiéndose, la presión para garantizar la seguridad desde la fase de desarrollo será cada vez mayor.

 

El futuro de los ataques cibernéticos está inextricablemente ligado a la evolución tecnológica. Si bien herramientas como HiatusRAT representan una amenaza significativa, también son una oportunidad para que las comunidades técnicas, gubernamentales y empresariales colaboren en la creación de estándares más sólidos, mejores políticas de seguridad y una mayor conciencia pública.

 

En última instancia, la mejor defensa contra amenazas como HiatusRAT es una combinación de tecnología robusta, capacitación adecuada y la adopción de una mentalidad de seguridad proactiva. Esto no solo protege nuestras redes y datos, sino que también contribuye a un entorno digital más seguro para todos.

 

Notas
recientes
General
5
minutos

Threat Hunting con predicción de comportamiento

Nos encontramos en la constante búsqueda de elementos que nos ayuden a predecir como seremos atacados y así hacer algo proactivamente para reducir estos riesgos. La Ciber Inteligencia de Amenazas (CTI) es esa disciplina...
ver más ...

Trabajamos de forma
interconectada desde
América Latina, USA
y Europa.

Contactános

Certificaciones

Logros

Políticas

RRSS

iconos pie -13-svg
iconos pie -14-svg
iconos pie -12-svg

© BASE4 Security S.A. Todos los derechos reservados 2025