Raptor Train

¿Qué es?

Raptor Train, también conocido como Raptor-Train y RaptorTrain, es una botnet avanzada y multifunción que se enfoca en comprometer dispositivos de Internet de las Cosas (IoT) para ofrecer una infraestructura de mando y control (C2), de proxy y de DDoS (denegación de servicio distribuida) a los atacantes para que puedan realizar diferentes tipos de actividades maliciosas.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

Ejecuta comandos remotos y carga y descarga archivos sin dejar persistencia en disco.
Compromete la memoria de los dispositivos IoT sin archivos en disco (fileless), mediante el uso de un implante específico llamado Nosedive, derivado de la familia Mirai.
Opera completamente en memoria para facilitar la evasión de su detección y garantizar su persistencia sin archivos.
Realiza escaneo masivo de redes y búsqueda de vulnerabilidades.
Proporciona servicios de proxy para ocultar y encubrir el tráfico malicioso propio y de terceros.
Prepara ataques de DDoS (denegación de servicio distribuida) para interrumpir los servicios de su objetivo víctima.
Recolecta información de sus víctimas y realiza espionaje cibernético.
Permite la descarga y ejecución de cargas adicionales directamente en memoria para ampliar sus capacidades de ataque.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos IoT con sistemas operativos Linux embebidos (routers, cámaras de vigilancia, etc.) y con carencia de certificados y actualizaciones oficiales de fábrica.

¿Cómo me infecta?

Esta botnet se distribuye a través de vulnerabilidades de seguridad de los dispositivos y a través del uso de droppers que inyectan código malicioso directamente en memoria.