### Dispositivos TBK DVR Atacados Mediante CVE-2024-3721 **Fortinet** reporta que atacantes están aprovechando **CVE-2024-3721** (puntaje CVSS: 6.3), una vulnerabilidad de inyección de comandos, en dispositivos de grabación de video digital **TBK DVR-4104** y **DVR-4216**. Esta falla permite el despliegue de una variante de **Mirai** denominada **Nexcorium**. El investigador de seguridad Vincent Li señaló: "Los dispositivos IoT son cada vez más objetivos principales para ataques a gran escala debido a su uso generalizado, la falta de parches y, a menudo, configuraciones de seguridad débiles. Los actores de amenazas continúan explotando vulnerabilidades conocidas para obtener acceso inicial y desplegar malware que puede persistir, propagarse y causar ataques de denegación de servicio distribuido (DDoS). Esta vulnerabilidad ha sido explotada previamente para desplegar otras variantes de **Mirai** y la botnet **RondoDox**. En septiembre de 2025, **CloudSEK** reveló una botnet como servicio de carga (loader-as-a-service) que distribuía cargas útiles de **RondoDox**, **Mirai** y **Morte**. La cadena de explotación implica el uso de **CVE-2024-3721** para descargar y ejecutar un script que obtiene la carga útil de la botnet basándose en la arquitectura del sistema. Tras la ejecución, el malware muestra "nexuscorp has taken control." ### Capacidades de la Botnet Nexcorium **Nexcorium** comparte similitudes arquitectónicas con otras variantes de **Mirai**, incluyendo configuración codificada con XOR, un módulo de supervisión (watchdog) y capacidades de ataque DDoS. El malware también explota **CVE-2017-17215** para atacar dispositivos **Huawei HG532**. Además, emplea una lista de credenciales codificadas para ataques de fuerza bruta a través de Telnet. Los inicios de sesión exitosos conducen a acceso de shell, configuración de persistencia utilizando crontab y systemd, y conexión a un servidor externo para comandos DDoS (UDP, TCP y SMTP). El binario original descargado se elimina luego para dificultar el análisis. **Fortinet** enfatiza que **Nexcorium** exhibe rasgos típicos de las botnets IoT modernas, combinando la explotación de vulnerabilidades, soporte multi-arquitectura y mecanismos de persistencia. Su uso de exploits conocidos como **CVE-2017-17215** y amplias capacidades de fuerza bruta mejoran su alcance de infección. ### Intentos de Explotación de Vulnerabilidad en Routers TP-Link (CVE-2023-33538) **Unit 42** ha detectado escaneos activos dirigidos a **CVE-2023-33538** (puntaje CVSS: 8.8), una vulnerabilidad de inyección de comandos que afecta a routers inalámbricos **TP-Link** al final de su vida útil. Aunque los ataques observados fueron defectuosos, la vulnerabilidad subyacente está confirmada. Esta falla se agregó al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de **CISA** en junio de 2025 e impacta los siguientes modelos: * TL-WR940N v2 y v4 * TL-WR740N v1 y v2 * TL-WR841N v8 y v10 Los investigadores Asher Davila, Malav Vyas y Chris Navarrete de **Unit 42** declararon que la explotación exitosa requiere autenticación en la interfaz web del router. Los ataques intentan desplegar un malware de botnet similar a **Mirai** que hace referencia a "Condi". El malware puede actualizarse a sí mismo y actuar como un servidor web para propagar la infección. ### Mitigación y Recomendaciones Dado que los dispositivos **TP-Link** afectados ya no tienen soporte, los usuarios deben reemplazarlos por modelos más nuevos y evitar el uso de credenciales predeterminadas. **Unit 42** advierte que las credenciales predeterminadas en los dispositivos IoT siguen siendo un riesgo de seguridad significativo, convirtiendo las vulnerabilidades autenticadas en puntos de entrada críticos para los atacantes.