El KV-botnet, una red maliciosa de routers y dispositivos firewall comprometidos, ha sufrido «cambios de comportamiento» mientras las autoridades estadounidenses han comenzado a emitir comandos para neutralizar su actividad. La red ha sido utilizada como sistema de transferencia de datos encubierto por actores respaldados por el estado chino, incluyendo a Volt Typhoon. La red ha estado activa desde febrero del 2022, y se sabe que consta de dos subgrupos principales, KV y JDY, siendo este último utilizado principalmente para escanear posibles objetivos para reconocimiento. El gobierno de Estados Unidos anunció el mes pasado un esfuerzo de interrupción autorizado por una corte para desmantelar el clúster KV.
Según nuevos hallazgos de la firma de ciberseguridad, el clúster JDY permaneció en silencio durante quince días después de que se hiciera pública la acción emprendida por el FBI. Los operadores del KV-botnet comenzaron a reestructurarse mientras se llevaban a cabo ocho horas consecutivas de actividad el 8 de diciembre del 2023, casi diez horas de operaciones al día siguiente y una hora de operación el 11 de diciembre del mismo año. Durante este período de cuatro días, el actor amenazante interactuó con 3.045 direcciones IP únicas.
Los operadores del KV-botnet son conocidos por realizar su propia exploración y selección de objetivos al mismo tiempo que respaldan a múltiples grupos como Volt Typhoon. Se observó que «hubo conexiones administrativas en los servidores de carga útil conocidos desde direcciones IP asociadas con China Telecom«. Hay indicios de que los actores amenazantes establecieron un tercer clúster de botnets relacionado pero distinto, denominado x.sh, tan temprano como en enero del 2023.
Se espera que la reciente ola de acciones impulse a los actores respaldados por el estado a pasar presumiblemente a otra red encubierta para cumplir con sus objetivos estratégicos. La mitigación implica que los defensores agreguen sus dispositivos de borde a la larga lista de los que ya tienen que parchar y actualizar tan a menudo como estén disponibles, reinicien los dispositivos y configuren soluciones EDR o SASE cuando corresponda, y vigilen las grandes transferencias de datos fuera de la red.
Vía: The Hacker News
