Una investigación de Black Lotus Labs de Lumen Technologies ha revelado un ataque cibernético de gran magnitud que dejó inoperativos a más de 600,000 routers de oficina pequeña/oficina en casa (SOHO) pertenecientes a un solo proveedor de servicios de Internet (ISP). El incidente, ocurrido entre el 25 y 27 de octubre, inutilizó permanentemente los dispositivos afectados, obligando a su reemplazo físico.
Datos públicos confirmaron la eliminación súbita del 49% de todos los módems del ASN (Número de Sistema Autónomo) del ISP afectado durante este periodo. Aunque Lumen no reveló el nombre del ISP, Reuters lo vinculó a Windstream tras numerosos reportes de clientes en foros en línea sobre fallos en sus routers.
El análisis de Lumen identificó a «Chalubo», un troyano de acceso remoto (RAT), como el responsable principal del ataque. Chalubo, identificado por primera vez en 2018, utilizó técnicas avanzadas para ocultar sus actividades, ejecutándose en memoria y cifrando todas las comunicaciones con el servidor de comando y control (C2).
Lumen indicó que Chalubo tiene payloads diseñados para todos los kernels principales de SOHO/IoT, capacidades preconfiguradas para realizar ataques DDoS y la habilidad de ejecutar cualquier script Lua enviado al bot. Es probable que esta funcionalidad Lua se empleara para distribuir el payload destructivo.
El malware Chalubo mostró una alta actividad en noviembre de 2023, extendiéndose hasta principios de 2024. En un análisis de 30 días en octubre, Lumen identificó más de 330,000 direcciones IP únicas que se comunicaron con uno de los 75 nodos C2 observados, confirmando la infección.
Lumen destacó que los actores detrás del ataque eligieron un malware común para evitar la atribución, en lugar de usar un kit de herramientas personalizado. No se encontró ninguna relación con actividades conocidas de estados nacionales.
El ataque afectó principalmente a comunidades rurales y desatendidas dentro del área de servicio del ISP, provocando la pérdida de acceso a servicios de emergencia, sistemas de monitoreo agrícola y proveedores de atención médica.
Las primeras quejas surgieron a finales de octubre de 2023, enfocándose en dispositivos ActionTec T3200s y T3260s, que mostraban una luz roja estática debido a un problema de firmware. Lumen observó una disminución significativa en el número de dispositivos expuestos, principalmente en los módems ActionTec y Sagemcom F5380.