PumaBot: una botnet sigilosa y selectiva que apunta a dispositivos Linux embebidos
Publicado enCyberseguridad Informativo

PumaBot: una botnet sigilosa y selectiva que apunta a dispositivos Linux embebidos

No hay comentarios

Recientemente detectada por Darktrace, PumaBot es una nueva amenaza escrita en Go, diseñada específicamente para comprometer dispositivos Linux embebidos, con un foco particular en cámaras de videovigilancia y dispositivos de infraestructura urbana como cámaras de tráfico. Su arquitectura modular, capacidad de persistencia y tácticas de evasión la convierten en una de las botnets más sofisticadas actualmente activas en su categoría.

🎯 ¿Qué hace tan peligrosa a PumaBot?

A diferencia de las botnets tradicionales que buscan reclutar dispositivos para ataques DDoS masivos, PumaBot presenta un enfoque más quirúrgico y silencioso, con funcionalidades diseñadas para movimiento lateral, persistencia prolongada y exfiltración de datos en redes corporativas.

🧬 Funcionalidades principales de PumaBot

  • 🔐 Fuerza bruta SSH en el puerto 22: intenta acceder mediante credenciales por defecto o débiles.
  • 📡 Ataques dirigidos por C2: recibe instrucciones específicas desde un servidor de comando y control (ssh.ddos-cc.org), lo que permite seleccionar objetivos con precisión.
  • 🔎 Búsqueda de dispositivos “Pumatronix”: analiza el sistema en busca de esta cadena, posiblemente asociada a una marca de cámaras de videovigilancia brasileña.
  • 🚫 Detección de honeypots: ejecuta uname -a para confirmar que el entorno no es simulado o controlado por investigadores.
  • 📦 Instalación de binario malicioso: despliega un archivo llamado jierui y crea un servicio persistente (redis.service) para ejecución automática en cada reinicio.
  • 🔑 Acceso persistente vía SSH: agrega su clave pública al archivo authorized_keys, asegurando control total del dispositivo.
  • 🐚 Exfiltración de datos: utiliza scripts personalizados, rootkits PAM y demonios ocultos para enviar datos sensibles fuera de la red comprometida.
  • 🧩 Módulo de robo de credenciales PAM: sustituye el archivo crítico pam_unix.so por una versión modificada que intercepta credenciales SSH, almacenándolas temporalmente en un archivo llamado con.txt, el cual es exfiltrado y luego eliminado para cubrir su rastro.

⚠️ ¿Qué diferencia a PumaBot de otras botnets?

La mayoría de botnets IoT están diseñadas para lanzar ataques DDoS o minar criptomonedas. PumaBot, en cambio, actúa como una puerta trasera silenciosa a redes corporativas, abriendo la posibilidad a:

  • 🔄 Movimiento lateral
  • 🎯 Reconocimiento interno
  • 📂 Robo de información confidencial
  • ⚔️ Acceso inicial para operaciones de ransomware o APTs

Su comportamiento muestra una clara orientación hacia objetivos de alto valor, lo que la vincula con campañas más sofisticadas que las habituales en el mundo de los dispositivos IoT.

🛡️ Recomendaciones para proteger dispositivos IoT

  1. 🔑 Cambia inmediatamente las credenciales por defecto.
  2. 📲 Aplica las últimas actualizaciones de firmware disponibles por el fabricante.
  3. 🔐 Segmenta la red: separa dispositivos IoT de los sistemas críticos o de gestión corporativa.
  4. 🧱 Restringe el acceso SSH mediante firewalls, VPNs o whitelisting de IPs confiables.
  5. 🧭 Monitorea el tráfico de red saliente, especialmente en dispositivos que no deberían tener conexión directa a internet.
  6. 📉 Audita regularmente los archivos PAM y servicios activos, buscando binarios sospechosos o servicios inusuales como redis.service.

💬 Reflexión final

PumaBot demuestra que incluso los dispositivos más inofensivos —como cámaras IP— pueden convertirse en el eslabón más débil de la cadena de seguridad empresarial. Ignorarlos es dejar la puerta entreabierta.”

Etiquetas:

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *