Botnet vinculada a Irán expuesta después de que la filtración de un directorio abierto revela una red de…
Resumen Informativo
De acuerdo a la publicación titulada Botnet vinculada a Irán expuesta después de que la filtración de un directorio abierto revela una red de retransmisión de 15 nodos, difundida en fecha 19/03/2026 08:53, por el medio Cybersecuritynews (Autor: Tushar Subhra Dutta):
Un actor de amenazas con vínculos con Irán tuvo toda su infraestructura de trabajo expuesta después de dejar descuidadamente un directorio abierto en su propio servidor de prueba, brindando a los investigadores una visión poco común de una operación de botnet en vivo. La exposición surgió el 24 de febrero de 2026, cuando un servidor con IP 185.221.239[.]162, alojado en una infraestructura registrada a nombre de Dade Samane Fanava Company (PJS), un ISP iraní, fue marcado durante el escaneo de rutina.
El servidor contenía 449 archivos en 59 subdirectorios, incluido un archivo de configuración de túnel, scripts de implementación basados en Python, binarios DDoS compilados, archivos fuente de denegación de servicio en lenguaje C y una lista de credenciales utilizada para apuntar a los sistemas de las víctimas a través de SSH. Administrador de archivos de directorio abierto en AttackCapture (Fuente: Hunt.io) Los analistas de Hunt.io identificaron el servidor expuesto durante una revisión de rutina de la infraestructura alojada en Irán utilizando su función AttackCapture, que indexa directorios abiertos en todo el mundo. Asociaciones de certificados que comparten la misma huella digital (Fuente: Hunt.io) La misma infraestructura tenía un doble propósito. Un archivo de configuración llamado config-client.yaml describía un túnel de paquetes basado en KCP que utilizaba Paqet (una herramienta de código abierto creada para sortear el sistema nacional de filtrado de Internet de Irán) donde el servidor iraní reenviaba tráfico cifrado a un nodo de salida de Hetzner en Finlandia.
Fragmento del historial de bash recuperado en AttackCapture (Fuente: Hunt.io) Los objetivos DDoS en el historial incluían un servidor FiveM GTA en 5.42.223[.]60 en el puerto 30120 y dos hosts orientados a HTTP/HTTPS, con herramientas C personalizadas (sync.c, Flood.c y au.c) junto con MHDDOS clonado desde GitHub y compilado directamente en el host de prueba. La publicación Botnet vinculada a Irán expuesta después de que una filtración en un directorio abierto revela una red de retransmisión de 15 nodos apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Botnet vinculada a Irán expuesta después de que la filtración de un directorio abierto revela una red de retransmisión de 15 nodos |
| Publicado: | 19/03/2026 08:53 |
| Enlace: | https://cybersecuritynews.com/iran-linked-botnet-exposed-after-open-directory-leak |
| Consultado: | 19/03/2026 |
