Netcrook Logo
👤 TRUSTBREAKER
🗓️ 20 Apr 2026  

Botnet Blitz: Cómo los hackers convirtieron los DVR TBK en un ejército global de DDoS

Una vulnerabilidad recientemente descubierta en los DVR TBK está alimentando una sofisticada botnet basada en Mirai que amenaza la seguridad del IoT a nivel mundial.

Tarde en la noche, miles de ojos digitales se abrieron - no en una sala de vigilancia, sino en botnets controladas por hackers alrededor del mundo. El culpable: un devastador nuevo exploit dirigido a los grabadores de video digital (DVR) TBK, transformando dispositivos de seguridad cotidianos en soldados involuntarios de ciberataques masivos. Bienvenido a la primera línea de la campaña de la botnet Nexcorium, donde tu cámara de seguridad podría ser la próxima arma en una guerra invisible.

Datos Rápidos

  • CVE-2024-3721 es una falla crítica de inyección de comandos del sistema operativo en dispositivos DVR TBK, actualmente explotada de forma activa.
  • Los atacantes despliegan Nexcorium - una variante de Mirai capaz de atacar múltiples arquitecturas de dispositivos (ARM, MIPS, x86-64).
  • Cabeceras distintivas “X-Hacked-By: Nexus Team – Exploited By Erratic” vinculan la campaña a un nuevo grupo de amenazas.
  • Nexcorium aprovecha tanto vulnerabilidades nuevas como antiguas, además de tácticas de fuerza bruta, para maximizar las tasas de infección.
  • El malware permite una amplia variedad de ataques DDoS, todos controlados remotamente por ciberdelincuentes.

Dentro de la ofensiva Nexcorium

La explotación de CVE-2024-3721 representa un ejemplo de manual de cómo los dispositivos del Internet de las Cosas (IoT) mal asegurados pueden convertirse en conductos para asaltos digitales a gran escala. Al manipular los parámetros “mdb” y “mdc” en los DVR TBK, los atacantes obtienen ejecución remota de comandos, abriendo la puerta a una nueva cepa de malware basado en Mirai llamada Nexcorium.

La investigación de FortiGuard Labs revela un enfoque multi-arquitectura: el script inicial “dvr” descarga cargas útiles de Nexcorium adaptadas para una variedad de dispositivos - desde routers de consumo hasta sistemas de seguridad comerciales. Una vez dentro, el malware proclama, “nexuscorp ha tomado el control”, un mensaje escalofriante para cualquiera que monitoree los registros de su dispositivo.

El diseño de Nexcorium es tanto robusto como implacable. Su configuración está oculta tras cifrado XOR, ocultando los servidores de comando y control (C2) de la botnet, instrucciones de ataque y exploits integrados. El malware no se limita a vulnerabilidades nuevas; también incluye un exploit para la antigua CVE-2017-17215, dirigida a routers Huawei, y se apoya en listas codificadas para forzar credenciales Telnet débiles - un enfoque de doble cañón para propagar la infección.

La persistencia es clave: Nexcorium modifica archivos del sistema, crea nuevos servicios y programa tareas cron para asegurar su supervivencia tras reinicios e intentos de eliminación. Incluso utiliza hashing para detectar manipulaciones, replicándose bajo nuevos nombres si se siente amenazado - un comportamiento más propio de un parásito digital que de un simple malware.

Una vez establecido, la botnet se convierte en un cañón DDoS controlado remotamente. Los operadores pueden desatar inundaciones de UDP, TCP (SYN, ACK, PSH, URG), SMTP y más, o amplificar ataques con técnicas especializadas. Los comandos desde la infraestructura C2 les permiten adaptar, detener o incluso autodestruir los dispositivos infectados a voluntad.

Quizás lo más alarmante es la escala y confianza de la campaña. La cabecera HTTP personalizada usada en los ataques actúa como tarjeta de presentación del llamado “Nexus Team”, una señal de que los actores de amenazas actuales son tan audaces como capaces. Mientras millones de dispositivos IoT permanecen sin parches y expuestos, el riesgo crece - aún más donde las credenciales predeterminadas y el firmware desactualizado son la norma.

Conclusión

La campaña Nexcorium es un recordatorio contundente: cada dispositivo sin asegurar es un posible peón en manos de ciberdelincuentes. A medida que las botnets se vuelven cada vez más adaptables y agresivas, organizaciones e individuos deben mantenerse al día - corrigiendo vulnerabilidades, deshabilitando servicios riesgosos y vigilando señales de compromiso. En la carrera armamentista creciente de la seguridad IoT, la vigilancia ya no es opcional; es esencial.

WIKICROOK

  • Botnet: Una botnet es una red de dispositivos infectados controlados remotamente por ciberdelincuentes, utilizada a menudo para lanzar ataques a gran escala o robar datos sensibles.
  • CVE (Vulnerabilidades y Exposiciones Comunes): Un CVE es un identificador público único para una vulnerabilidad de seguridad específica, que permite un seguimiento y discusión consistentes en la industria de la ciberseguridad.
  • Inyección de Comandos: La inyección de comandos es una vulnerabilidad donde los atacantes engañan a los sistemas para ejecutar comandos no autorizados insertando entradas maliciosas en campos o interfaces de usuario.
  • Mecanismo de Persistencia: Un mecanismo de persistencia es un método utilizado por el malware para permanecer activo en un sistema, sobreviviendo reinicios e intentos de eliminación por parte de usuarios o herramientas de seguridad.
  • DDoS (Denegación de Servicio Distribuida): Un ataque DDoS sobrecarga un servicio en línea con tráfico proveniente de muchas fuentes, haciéndolo lento o inaccesible para los usuarios reales.
Botnet IoT security DDoS attacks
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news