Los investigadores de ciberseguridad advierten sobre los riesgos continuos planteados por un malware distribuido de denegación de servicio (DDoS) conocido como Xorddos, con el 71.3 por ciento de los ataques entre noviembre de 2023 y febrero de 2025 dirigidos a los Estados Unidos.
«De 2020 a 2023, el Troyano Xorddos ha aumentado significativamente en la prevalencia», dijo el investigador de Cisco Talos, Joey Chen, en un análisis del jueves.
«Esta tendencia no solo se debe a la distribución global generalizada del troyano Xorddos, sino también a un aumento en las solicitudes de DNS maliciosas vinculadas a su infraestructura de comando y control (C2).
Casi el 42 por ciento de los dispositivos comprometidos se encuentran en los Estados Unidos, seguidos por Japón, Canadá, Dinamarca, Italia, Marruecos y China.
Xorddos es un malware bien conocido que tiene un historial de sorprendentes sistemas de Linux durante más de una década. En mayo de 2022, Microsoft informó un aumento significativo en la actividad de Xorddos, con las infecciones allanando el camino para el malware minero de criptomonedas como el tsunami.
La vía de acceso inicial principal implica la realización de ataques de fuerza bruta de Shell (SSH) segura para obtener credenciales SSH válidas y luego descargar e instalar el malware en IoT vulnerable y otros dispositivos conectados a Internet.
Al establecer con éxito un punto de apoyo, el malware establece la persistencia utilizando un script de inicialización integrado y un trabajo cron para que se inicie automáticamente al inicio del sistema. También utiliza la clave XOR «BB2FA36AAA9541F0» para descifrar una configuración presente en sí misma para extraer las direcciones IP necesarias para la comunicación C2.
Talos dijo que observó en 2024 una nueva versión del subcontrolador de Xorddos, llamada versión VIP, y su controlador central correspondiente, junto con un constructor, lo que indica que el producto probablemente se anuncia para la venta.
El controlador central es responsable de administrar múltiples subcontroladores Xorddos y enviar comandos DDOS simultáneamente. Cada uno de estos subtroladores, a su vez, se reúne una botnet de dispositivos infectados.
«La configuración del lenguaje del controlador de múltiples capas, el constructor de Xorddos y la herramienta de enlace del controlador sugieren fuertemente que los operadores son individuos de habla china», dijo Chen.