La botnet Ballista explota una falla en los routers TP-Link, infectando más de 6.000 dispositivos
Una nueva botnet, Ballista, está explotando una vulnerabilidad de alta gravedad (CVE-2023-1389) en routers TP-Link Archer AX-21 sin parche, infectando más de 6.000 dispositivos. La vulnerabilidad permite la ejecución remota de código, permitiendo que Ballista se propague automáticamente mediante inyección de comandos. La botnet se dirige a organizaciones de manufactura, salud, servicios y tecnología, principalmente en Brasil, Polonia, Reino Unido, Bulgaria y Turquía, pero también afecta a EE. UU., Australia, China y México. Ballista utiliza un dropper de malware y un script shell para ejecutar su binario principal, estableciendo un canal C2 para controlar dispositivos infectados y realizar ataques DoS y lectura de archivos confidenciales. Los investigadores sospechan de un origen italiano, pero el uso de redes Tor sugiere un desarrollo continuo y técnicas activas de evasión.