AvanzadoIoTfirmwareroutersdispositivos embebidossupply chainAPT

Malware en Firmware: Routers, Cámaras IP y Dispositivos Embebidos

Análisis de malware dirigido a firmware de routers, cámaras IP y dispositivos embebidos. VPNFilter, Cyclops Blink, ZuoRAT, Horse Shell. Técnicas de persistencia en firmware, análisis con binwalk, riesgos de supply chain y estrategias de hardening.

MalwareIntel Research··12 min lectura
Serie: Malware IoT/OT/ICS — Parte 8

El firmware como superficie de ataque invisible

Cada router doméstico, cada cámara IP, cada switch gestionado y cada dispositivo NAS ejecuta firmware: software embebido que controla el hardware a bajo nivel. A diferencia de los sistemas operativos de servidor o escritorio, el firmware de dispositivos de red rara vez recibe actualizaciones de seguridad, opera sin protección endpoint, y proporciona acceso privilegiado a la red en la que se encuentra.

Para los actores de amenazas avanzadas (especialmente APTs estatales), el firmware de dispositivos de red perimetral es un objetivo ideal. Un router comprometido proporciona acceso persistente a la red, capacidad de interceptar y manipular tráfico, y una posición desde la que pivotar hacia objetivos internos. Todo ello sin levantar las alertas que generaría un endpoint comprometido.

Este artículo analiza las familias de malware más significativas dirigidas a firmware de dispositivos de red, las técnicas de análisis disponibles, y las estrategias de defensa para un perímetro que muchas organizaciones olvidan proteger.

VPNFilter: 500.000 dispositivos comprometidos (2018)

Arquitectura del malware

VPNFilter, descubierto por Cisco Talos en mayo de 2018 y atribuido a Sofacy/APT28 (GRU), fue el primer malware a gran escala dirigido a routers SOHO y dispositivos NAS con una arquitectura verdaderamente sofisticada. Infectó aproximadamente 500.000 dispositivos en 54 países.

La arquitectura de VPNFilter se organiza en tres etapas:

Etapa 1 (persistencia). El componente inicial se instala en el firmware y sobrevive a reinicios del dispositivo. Su única función es establecer comunicación con la infraestructura C2 para descargar la etapa 2. Utiliza múltiples mecanismos de fallback para localizar el C2: consultas a Photobucket.com (metadatos EXIF de imágenes), dominio de backup hardcodeado, y un listener que espera un paquete trigger específico.

Etapa 2 (funcionalidad core). El módulo principal proporciona recopilación de archivos, ejecución de comandos, exfiltración de datos y gestión del dispositivo. Incluye un módulo de autodestrucción (kill switch) capaz de sobrescribir una sección crítica del firmware y reiniciar, dejando el dispositivo inutilizable (brick).

Etapa 3 (plugins). Módulos adicionales que proporcionan funcionalidades específicas:

  • Sniffer de paquetes: captura credenciales en tráfico HTTP, Modbus/TCP y otros protocolos.
  • Tor proxy: enruta comunicaciones C2 a través de la red Tor.
  • Exploit kit: herramientas para atacar dispositivos adicionales en la red local.

Dispositivos afectados

VPNFilter afectó routers de Linksys (E1200, E2500), MikroTik (1016, 1001, CCR1009), NETGEAR (DGN2200, R6400, WNR2000), TP-Link (R600VPN), y dispositivos NAS de QNAP (TS251, TS439 Pro). La mayoría ejecutaban firmware basado en Linux con vulnerabilidades conocidas sin parchear.

Implicaciones para Modbus/OT

El sniffer de VPNFilter incluía específicamente capacidad de interceptar tráfico Modbus/TCP, un protocolo industrial utilizado en sistemas SCADA. Esto sugiere que al menos parte del objetivo era la recopilación de inteligencia sobre infraestructura industrial accesible desde redes comprometidas.

Cyclops Blink fue identificado por el NCSC (UK) y CISA en febrero de 2022 como el sucesor directo de VPNFilter, atribuido a Sandworm (GRU), el mismo grupo responsable de NotPetya e Industroyer.

A diferencia de VPNFilter, Cyclops Blink adoptó una arquitectura más modular y sofisticada:

Framework de plugins. El malware se diseñó como un framework extensible donde los módulos se cargan dinámicamente. Cada módulo se identifica por un ID numérico y comunica con el core a través de una API interna.

Persistencia en firmware. Cyclops Blink se instala aprovechando el proceso legítimo de actualización de firmware del dispositivo. En WatchGuard Firebox, modifica los scripts de arranque para ejecutarse después de cada reinicio. En routers ASUS, se integra en la partición de firmware.

Comunicación C2 cifrada. Utiliza OpenSSL para establecer conexiones TLS con los servidores C2. Cada dispositivo infectado genera un par de claves RSA único, lo que dificulta el bloqueo por IOC ya que cada implante se autentica de forma diferente.

Dispositivos objetivo. Principalmente WatchGuard Firebox (donde se estima que infectó el 1% de los dispositivos activos a nivel mundial) y routers ASUS (RT-AC68U, RT-AC530, RT-AC5300 y otros de la serie RT).

El FBI ejecutó una operación de disrupción en abril de 2022, obteniendo autorización judicial para acceder remotamente a dispositivos WatchGuard infectados y eliminar el malware.

ZuoRAT: routers SOHO como plataforma de espionaje (2022)

Descubierto por Lumen Black Lotus Labs en junio de 2022, ZuoRAT es un troyano de acceso remoto diseñado específicamente para routers SOHO (small office/home office) que aprovecha la explosión del trabajo remoto post-pandemia.

Cadena de ataque

ZuoRAT opera en varias fases:

  1. Explotación inicial. Compromiso del router SOHO mediante vulnerabilidades conocidas (muchos dispositivos nunca se actualizan).
  2. Enumeración de red. Una vez en el router, ZuoRAT enumera todos los dispositivos en la red local mediante DNS hijacking y HTTP hijacking pasivo.
  3. Pivoting a endpoints. Desde el router, despliega malware adicional en estaciones de trabajo Windows y macOS dentro de la red: CBeacon (C/C++, Windows), GoBeacon (Go, Windows/macOS), y Cobalt Strike.
  4. Exfiltración. Datos exfiltrados desde los endpoints internos a través del router comprometido, que actúa como proxy.

Por qué los routers SOHO son el objetivo perfecto

Los routers domésticos y de pequeña oficina representan un punto ciego en la seguridad corporativa. Con el trabajo remoto, millones de empleados acceden a recursos corporativos a través de routers que nunca reciben actualizaciones de firmware, no tienen monitorización, y proporcionan acceso directo a la red doméstica donde puede haber otros dispositivos corporativos.

ZuoRAT explota esta realidad: comprometer un router SOHO equivale a tener un implante en la red del empleado, con capacidad de interceptar tráfico VPN y desplegar malware en los dispositivos conectados.

Check Point Research descubrió en mayo de 2023 un implante de firmware denominado Horse Shell, atribuido al grupo APT chino Camaro Dragon (también conocido como Mustang Panda). El malware se distribuyó como una imagen de firmware modificada para routers TP-Link.

El implante proporciona tres funcionalidades principales:

  • Shell remoto: acceso completo por línea de comandos al dispositivo.
  • Transferencia de archivos: capacidad de subir y descargar archivos del dispositivo.
  • SOCKS5 proxy: tunelización de tráfico a través del router comprometido, creando una cadena de proxies entre múltiples routers infectados para ocultar el origen de las comunicaciones.

La técnica de distribución es notable: los atacantes modifican una imagen de firmware legítima de TP-Link, inyectan sus componentes maliciosos, y la despliegan en el dispositivo objetivo. El firmware modificado mantiene toda la funcionalidad legítima del router, haciéndolo indistinguible para el usuario.

Análisis de firmware: herramientas y técnicas

El análisis de firmware de dispositivos embebidos requiere herramientas especializadas que permiten extraer, desensamblar y examinar el contenido de las imágenes de firmware.

Binwalk: extracción de firmware

Binwalk es la herramienta fundamental para el análisis de firmware. Escanea imágenes binarias buscando firmas de sistemas de archivos, cabeceras de compresión, y otros patrones conocidos.

# Escanear firmware buscando sistemas de archivos embebidos
binwalk firmware.bin

# Extraer todos los sistemas de archivos encontrados
binwalk -e firmware.bin

# Análisis de entropía (útil para detectar cifrado/compresión)
binwalk -E firmware.bin

El análisis de entropía es particularmente útil: las regiones con entropía cercana a 1.0 están cifradas o comprimidas, mientras que las regiones con entropía baja contienen datos legibles o código sin comprimir.

Firmware-mod-kit

Firmware-mod-kit permite extraer, modificar y reconstruir imágenes de firmware de routers. Soporta múltiples formatos comunes (SquashFS, CramFS, JFFS2) y facilita la inspección del sistema de archivos completo.

# Extraer firmware
./extract-firmware.sh firmware.bin

# Tras análisis y modificaciones (si procede)
# Reconstruir firmware
./build-firmware.sh

Ghidra y análisis estático

Para el análisis de binarios extraídos del firmware, Ghidra (NSA) soporta las arquitecturas más comunes en dispositivos embebidos: MIPS, ARM, PowerPC. Esto permite examinar el código de los servicios que se ejecutan en el dispositivo (httpd, telnetd, servicios propietarios) buscando vulnerabilidades o implantes.

EMBA: análisis automatizado

EMBA (Embedded Firmware Analyzer) automatiza gran parte del proceso de análisis de seguridad de firmware:

  • Identificación de binarios con vulnerabilidades conocidas.
  • Detección de credenciales hardcodeadas.
  • Análisis de scripts de arranque.
  • Identificación de servicios de red expuestos.
  • Búsqueda de certificados y claves privadas embebidas.

Riesgos de supply chain en firmware

La cadena de suministro de firmware presenta riesgos específicos que difieren de los del software convencional:

Componentes compartidos. Muchos fabricantes de routers y dispositivos IoT utilizan los mismos SDKs y componentes de software (Realtek SDK, Ralink SDK, BusyBox). Una vulnerabilidad en un componente compartido afecta a dispositivos de múltiples fabricantes. El ejemplo más claro es la vulnerabilidad en el SDK de Realtek (CVE-2021-35395) que afectó a más de 65 fabricantes diferentes.

ODM y white-labeling. Muchos routers de marca son fabricados por ODMs (Original Design Manufacturers) que venden el mismo hardware y firmware base a múltiples marcas. Una vulnerabilidad en el firmware base afecta a todas las marcas que lo utilizan, y la coordinación de parches es compleja.

Actualizaciones sin firma. Muchos dispositivos embebidos no verifican la firma criptográfica de las actualizaciones de firmware. Un atacante con acceso a la red puede forzar una actualización con firmware malicioso, o un ataque man-in-the-middle puede sustituir una actualización legítima por una modificada.

Backdoors de desarrollo. Es frecuente encontrar credenciales de desarrollo y backdoors dejadas por los fabricantes en el firmware de producción. Estas no son necesariamente maliciosas en su intención (son herramientas de debug), pero proporcionan acceso no autorizado a cualquiera que las descubra.

Persistencia: sobrevivir al reinicio y al factory reset

La persistencia en firmware es lo que hace a este tipo de malware especialmente difícil de erradicar:

Modificación de la partición de firmware. El método más directo: el malware reescribe la partición de firmware en la memoria flash del dispositivo. Un reinicio carga el firmware modificado (que incluye el malware). Un factory reset restablece la configuración pero no reflashea el firmware, por lo que el malware sobrevive.

Bootkit de firmware. Modificaciones al bootloader (U-Boot es el más común en dispositivos embebidos) que cargan código malicioso antes de que se inicie el sistema operativo del dispositivo. Extremadamente difícil de detectar y eliminar.

Modificación de scripts de arranque. Menos persistente pero más común: el malware añade entradas a los scripts de inicio (init.d, rc.local) que descargan y ejecutan el payload en cada arranque. Un factory reset puede eliminar esto, pero un reinicio no.

Partición oculta. Algunos implantes crean particiones adicionales en la memoria flash del dispositivo donde almacenan su código. Estas particiones no son visibles desde la interfaz de administración del router.

Detección: el desafío de lo invisible

Detectar malware en firmware es inherentemente más difícil que en sistemas convencionales:

Sin agentes. No es posible instalar agentes de seguridad (EDR, antivirus) en la mayoría de dispositivos embebidos. Los recursos (CPU, RAM, almacenamiento) son demasiado limitados.

Monitorización de red como sustituto. La principal herramienta de detección es la monitorización del tráfico de red. Indicadores de compromiso a buscar:

  • Conexiones salientes a IPs no esperadas, especialmente en horario no laboral.
  • Consultas DNS anómalas (dominios DGA, DNS tunneling).
  • Tráfico en puertos no estándar.
  • Conexiones Tor desde dispositivos que no deberían usarla.
  • Volumen de tráfico inusual para el tipo de dispositivo.

Verificación de integridad del firmware. Comparar el hash del firmware en ejecución con el hash del firmware oficial del fabricante. No todos los dispositivos facilitan esta operación, pero los que lo permiten proporcionan un método fiable de detección.

Análisis de procesos. En dispositivos accesibles por SSH, examinar la lista de procesos en ejecución, las conexiones de red activas, y los módulos del kernel cargados puede revelar componentes no legítimos.

Hardening de routers y dispositivos IoT

Medidas básicas

  • Actualizar firmware. Verificar periódicamente si el fabricante ha publicado actualizaciones. Muchos ataques explotan vulnerabilidades que ya tienen parche disponible.
  • Cambiar credenciales por defecto. El primer paso, aún ignorado en millones de dispositivos. Cambiar tanto la contraseña de administración web como las credenciales SSH/Telnet.
  • Deshabilitar servicios innecesarios. UPnP, Telnet, administración remota por WAN, SNMP con community strings por defecto. Cada servicio expuesto es un vector de ataque.
  • Deshabilitar administración desde WAN. La interfaz de administración del router solo debe ser accesible desde la LAN.

Medidas avanzadas

  • Segmentación de red. Separar dispositivos IoT en una VLAN dedicada con reglas de firewall que limiten su comunicación.
  • Monitorización de tráfico. Implementar monitorización del tráfico de red que incluya los dispositivos de red perimetral.
  • Inventario de firmware. Mantener un registro de las versiones de firmware de todos los dispositivos de red, con alertas cuando el fabricante publique actualizaciones de seguridad.
  • Verificación de integridad periódica. Comparar hashes de firmware de dispositivos en producción con los oficiales del fabricante.
  • Considerar alternativas open source. Firmware open source como OpenWrt proporciona mayor transparencia, actualizaciones más frecuentes, y comunidad de seguridad activa. No es viable para todos los dispositivos, pero sí para routers SOHO.

Recursos

Herramientas de análisis

Informes técnicos

  • Cisco Talos, "VPNFilter: New Router Malware with Destructive Capability," 2018.
  • NCSC/CISA, "Cyclops Blink Malware Analysis Report," 2022.
  • Lumen Black Lotus Labs, "ZuoRAT Hijacks SOHO Routers," 2022.
  • Check Point Research, "Horse Shell: The Firmware Implant from Camaro Dragon," 2023.
  • MITRE ATT&CK, T1542.004 ROMMONkit (persistencia en firmware de dispositivos de red).

Bases de datos de vulnerabilidades de firmware

  • CVE Details: filtrar por fabricante y producto para firmware de routers.
  • IoT Inspector: base de datos de vulnerabilidades en firmware IoT.
  • NIST NVD: búsqueda por CPE de dispositivos de red específicos.

Preguntas frecuentes

Artículos relacionados

Malware IoT/OT/ICSIntermedio

Ransomware en OT: Colonial Pipeline, JBS y el Impacto en Infraestructura Crítica

Malware IoT/OT/ICSIntermedio

Honeypots ICS: Conpot, GRIDPot y Monitorización de Ataques OT

Malware IoT/OT/ICSIntermedio

Segmentación IT/OT: Arquitectura de Red para Infraestructura Crítica

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.