Así funciona el malware ZuoRAT, el terror de los routers

Este troyano de acceso remoto ha sido descubierto por Black Lotus Labs y lleva infectando routers de pymes y oficinas domésticas desde 2020.

Alberto Payo

Periodista

Guardar

El router también puede ser una ruta de acceso a nuestra seguridad.
El router también puede ser una ruta de acceso a nuestra seguridad.

En los dos últimos años muchas empresas y empleados han abrazado el teletrabajo, por causas forzosas en un principio y, finalmente, por convencimiento. Esto ha conllevado grandes desafíos para los departamentos de TI y de seguridad para proteger los negocios y una oportunidad para que los actores de amenazas encuentren agujeros por los que colarse.

En una oficina los equipos de TI pueden monitorizar los routers y su actividad y parchear sus vulnerabilidades, pero la cosa se complica con los de los teletrabajadores. Raramente estos lo hacen en sus redes. 

Esta carencia abre las puertas a malware como el que nos ocupa hoy: ZuoRAT. Como su propio nombre indica, se trata de un troyano de acceso remoto o RAT. Es capaz de recopilar y enviar los datos de una víctima a un actor de amenazas externo, pero también puede resultar mucho más dañiño por otras razones. 

El malware se dirige, sobre todo, a los routers SOHO, de pequeños negocios o a redes domésticas. Sería capaz de infectar los de marcas como Cisco, Netgear, Asus y DrayTek. Puede recopilar búsquedas de DNS y tráfico de red de sus víctimas. 

Una amenaza activa

ZuoRAT no es, precisamente, un malware pasivo. Una vez que infecta un router despliega dos RAT adicionales en dispositivos conectados a la red.

Después de esto, tiene poder para instalar todavía más malware en los dispositivos de esa red local. Así, con esta amenaza los cibermalos podrían llegar a secuestrar una red completa de PC, convertirla en una red de bots o incluso derribar una pequeña empresa con ransomware.

Esta amenaza ha sido identificada y descrita por la firma Black Lotus Labs, pero no puede decirse que sea una novata. De hecho, llevaría desde 2020, año del arranque de la pandemia, haciendo de las suyas. Eso supone que en estos dos años podría haber infectado lentamente miles de routers. 

El problema es que sería prácticamente indetectable por el software de seguridad actual, al estar hecho a medida en la arquitectura MIPS. Esto lo convierte en un arma muy peligrosa que puede ser usada por grupos de pirateria o de estado-nación.

La buena noticia es que matar a ZuoRAT es tan sencillo como reiniciar el router, según se hace eco ReviewGeek. Sin embargo, si el malware ha afectado a los dispositivos de la red, las cosas pueden complicarse un poco.