Una variante nueva y avanzada de la botnet **Gafgyt**, llamada **C0XMO**, está explotando activamente vulnerabilidades en el firmware de routers **DD-WRT**. Este sofisticado malware demuestra una notable capacidad de adaptación, atacando una diversa gama de tipos de dispositivos en múltiples arquitecturas de CPU, incluyendo ARM, MIPS, PowerPC, SuperH, x86 y x86_64. ### Diseño Modular y Amplio Alcance Los investigadores de **Fortinet** fueron fundamentales para descubrir las capacidades de **C0XMO**. Destacaron su arquitectura modular, una característica clave que permite a sus operadores actualizar de forma independiente las técnicas de explotación, añadir o eliminar arquitecturas objetivo y expandir las capacidades de movimiento lateral sin alterar el payload principal. Aunque se observó que atacaba a una empresa tecnológica japonesa, la IP de origen de la botnet se rastreó hasta un dispositivo en Alemania, lo que indica un alcance global potencialmente más amplio o una estructura operativa compleja. ### Explotación y Capacidades DDoS **C0XMO** se propaga principalmente explotando **CVE-2021-27137**, una vulnerabilidad crítica de desbordamiento de búfer en **DD-WRT**. Esta falla, derivada de una validación insuficiente de la entrada del usuario, puede ser aprovechada sin autenticación para ejecutar código arbitrario en dispositivos vulnerables. En su núcleo, **C0XMO** está diseñado para lanzar ataques de denegación de servicio distribuido (DDoS). Soporta una amplia gama de 19 métodos de ataque, incluyendo inundaciones UDP/TCP/SYN/ICMP, "ping of death", amplificación NTP/Memcached, inundaciones de voz UDP de Discord e inundaciones específicas de Valve. ### Propagación Avanzada y Persistencia Para lograr una distribución más amplia, **C0XMO** descarga un script de Python que instala paquetes necesarios como 'requests', 'paramiko' y 'beautifulsoup4'. Estas herramientas facilitan el escaneo de red y la comunicación a través de los protocolos SSH y Telnet.  El escáner emplea hilos de trabajo para sondear aleatoriamente sistemas expuestos a Internet en puertos comunes como 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443 y 8888. Al identificar un objetivo, el malware intenta realizar un ataque de fuerza bruta a credenciales débiles de Telnet y SSH. Una vez que se obtiene acceso, detecta la arquitectura de la CPU e implementa un binario **C0XMO** compatible. El script presenta casi dos docenas de funciones para diversas tareas, incluyendo escaneo, explotación de vulnerabilidades basadas en HTTP y ADB, detección de arquitectura de CPU, inicio de sesión SSH/Telnet y verificación de dirección IP, todo ello dirigido a un movimiento lateral robusto dentro de las redes. Una vez que un dispositivo es comprometido, **C0XMO** se copia a directorios ocultos como '/tmp/.sys', '/var/tmp/.sys' y '/dev/shm/.sys'. Luego establece persistencia creando trabajos cron para relanzarse cada 15 minutos y modifica los archivos de inicio del shell para su ejecución automática. ### Eliminación de Rivales y Comando y Control Una característica notable de **C0XMO** es su escaneo activo de clientes de botnets rivales, herramientas de red de seguridad (red-team), herramientas de programación y servicios de red que podrían interferir con sus operaciones. Al detectarlos, termina estos procesos, elimina sus binarios y remueve sus mecanismos de persistencia, incluyendo trabajos cron, scripts de inicio, servicios del sistema y entradas de perfil de shell.  Tras un compromiso exitoso y la limpieza, **C0XMO** se conecta a una dirección de comando y control (C2) codificada en la propia aplicación utilizando un handshake personalizado de múltiples etapas que involucra cadenas mágicas y secretos compartidos. Luego espera comandos, que incluyen verificaciones de latido, inicio/detención de escaneos y lanzamiento de ataques DDoS utilizando cualquiera de sus 19 métodos soportados. ### Evaluación de Fortinet y Recomendaciones de Defensa **Fortinet** describe a **C0XMO** como poseedor de "una arquitectura y un conjunto de características considerablemente más avanzados en comparación con botnets IoT anteriores". Los investigadores enfatizan que su diseño general indica "un mayor grado de sofisticación y complejidad operativa que el malware **Gafgyt** típico". Para defenderse contra **C0XMO** y amenazas de botnets similares, se recomienda encarecidamente a los profesionales de seguridad de TI y a los usuarios que: * Mantengan todos los dispositivos, especialmente routers y dispositivos IoT, actualizados con el último firmware y parches de seguridad. * Utilicen credenciales administrativas fuertes y únicas para todos los dispositivos de red. * Deshabiliten las capacidades de acceso remoto cuando no sean explícitamente requeridas.