Investigadores de Bitdefender han descubierto que la botnet Interplanetary Storm (IPStorm), escrita en Golang, podría ser utilizada como una red proxy anónima como servicio y ser alquilada a otros ciberdelincuentes mediante un sistema de suscripción.
Según advierte la compañía de ciberseguridad, aunque la mayoría de las víctimas de IPStorm se encuentran en Asia, esta botnet tiene una presencia global y también tiene víctimas en España, Estados Unidos, Suecia, Brasil y Canadá, entre otros países.
IPStorm fue descubierto por primera vez en junio de 2019, por investigadores de la empresa Animali, y Bitdefender comenzó una nueva campaña utilizando esta botnet en mayo de 2020, cuando atacó los honeypots SSH de la companía. Desde entonces, Bitdefender señala que el malware ha evolucionado constantemente puesto que sus creadores incorporaron nuevas funciones para intentar ocultar sus actividades con tráfico inofensivo.
Bitdefender también explica que, en su nueva versión, "IPStorm se propaga atacando los sistemas Unix –incluidos Linux, Android y Darwin– que ejecutan servidores SSH conectados a Internet con credenciales débiles o servidores ADB no seguros. Sus capacidades incluyen la capacidad de crear una puerta trasera en un dispositivo que ejecute comandos de shell y generar tráfico malicioso escaneando Internet e infectando otros dispositivos".
Asimismo, la compañía apunta a que el objetivo principal de la botnet es convertir los dispositivos infectados en proxies, como parte de un plan con fines lucrativos.
"La monitarización constante del ciclo de vida de desarrollo de Interplanetary Storm ha revelado que los ciberdelincuentes detrás de ella han dominado el uso de Golang y las mejores prácticas de desarrollo, así como el ocultamiento de los nodos de gestión de botnets", declara la compañía. Y agrega: "Al mismo tiempo, Interplanetary Storm tiene una infraestructura compleja y modular diseñada para encontrar y comprometer nuevos objetivos, impulsar y sincronizar nuevas versiones del malware, ejecutar comandos arbitrarios en máquinas infectadas y comunicarse con un servidor C2 que expone una API".
Las principales conclusiones del informe
Bitdefender también especifica los aspectos clave de su informe sobre la nueva versión de la botnet IPStorm. Son los siguientes:
- Es una botnet con el potencial de ser alquilada como una red proxy anónima.
- Está diseñada para utilizar dispositivos comprometidos como proxies.
- El mapeo de botnets descubre una presencia global.
- El alquiler de la botnet se produce mediante un sistema basado en suscripción de varios niveles.
- Más de 100 revisiones de código hasta la fecha.
- Análisis detallado de la infraestructura detrás de la botnet Interplanetary Storm.