Los actores de amenaza desconocidos están abusando de los enrutadores celulares industriales de Miles Vight para enviar mensajes SMS como parte de una campaña de licenciatura dirigida a usuarios en países europeos desde al menos febrero de 2022.
La compañía francesa de ciberseguridad Sekoia dijo que los atacantes están explotando la API del enrutador celular para enviar mensajes de SMS maliciosos que contienen URL de phishing, con las campañas que se dirigen principalmente a Suecia, Italia y a Bélgica utilizando URL tipográficas que hacen pasar por plataformas gubernamentales como CSAM y bandeja, así como la banquina, la postal y las plantas postales.
De los 18,000 enrutadores de este tipo accesibles en Internet público, se evalúa que no menos de 572 son potencialmente vulnerables debido a que exponen las API de bandeja de entrada/bandeja de salida. Alrededor de la mitad de los enrutadores vulnerables identificados se encuentran en Europa.
«Además, la API permite la recuperación de mensajes SMS entrantes y salientes, lo que indica que la vulnerabilidad ha sido explotada activamente para difundir campañas de SMS maliciosas desde al menos febrero de 2022», la compañía «, la compañía dicho. «No hay evidencia de ningún intento de instalar puertas traseras o explotar otras vulnerabilidades en el dispositivo. Esto sugiere un enfoque dirigido, alineado específicamente con las operaciones de sonrisas del atacante».
Se cree que los atacantes están explotando una falla de divulgación de información ahora parchada que impacta en los enrutadores Milesight (CVE-2023-43261, puntaje CVSS: 7.5), que era revelado por el investigador de seguridad Bipin Jitiya hace exactamente dos años. Semanas después, vulncheck reveló que la vulnerabilidad puede haber sido armada en la naturaleza poco después de la divulgación pública.
Una investigación adicional ha revelado que algunos de los enrutadores industriales exponen características relacionadas con SMS, incluido el envío de mensajes o ver el historial de SMS, sin requerir ninguna forma de autenticación.
Los ataques probablemente implican una fase de validación inicial en la que los actores de amenaza intentan verificar si un enrutador determinado puede enviar mensajes SMS al dirigir un número de teléfono bajo su control. Sekoia señaló además que la API también podría ser accesible públicamente debido a configuraciones erróneas, dado que se ha encontrado que un par de enrutadores ejecutan versiones de firmware más recientes que no son susceptibles a CVE-2023-43261.
Las URL de phishing distribuidas utilizando este método incluyen JavaScript que verifica si se accede a la página desde un dispositivo móvil antes de servir el contenido malicioso, lo que, a su vez, insta a los usuarios a actualizar su información bancaria para el supuesto reembolso.
Además, uno de los dominios utilizados en las campañas entre enero y abril de 2025 – JNSI[.]XYZ: presente el código JavaScript para deshabilitar las acciones de clic derecho y las herramientas de depuración del navegador en un intento de obstaculizar los esfuerzos de análisis. También se ha encontrado que algunas de las páginas registren conexiones de visitantes con un bot de telegrama llamado Groozabot, que es operado por un actor llamado «Gro_OZA», que parece hablar tanto árabe como francés.
«Las campañas de amordazamiento parecen haberse llevado a cabo a través de la explotación de enrutadores celulares vulnerables, un vector de entrega relativamente poco sofisticado, pero efectivo», dijo Sekoia. «Estos dispositivos son particularmente atractivos para los actores de amenaza, ya que permiten la distribución descentralizada de SMS en múltiples países, lo que complica los esfuerzos de detección y derribo».
Fuente