Censys advierte que 5.219 PLC de Rockwell/Allen-Bradley están expuestos en medio de la actividad iraní de APT

Revelaron conjuntamente el 7 de abril de 2026 que los actores de amenazas persistentes avanzadas (APT) afiliados a Irán están apuntando activamente a los controladores lógicos programables (PLC) de Rockwell Automation/Allen-Bradley conectados a Internet. La campaña actual, activa desde al menos marzo de 2026, marca una escalada significativa que ahora apunta a dispositivos Rockwell.

Los investigadores de Censys identificaron 5219 hosts expuestos a Internet en todo el mundo que responden a EtherNet/IP (EIP) en el puerto 44818 y se autoidentifican como dispositivos Rockwell Automation/Allen-Bradley, lo que representa la superficie de ataque completa vinculada a este aviso. Figura 1: Distribución global de hosts de Rockwell/Allen-Bradley PLC expuestos a Internet. Los 15 principales ASN que alojan PLC de Rockwell expuestos a Internet – Allen-Bradley (Fuente: Censys) La fuerte presencia de redes de consumidores y operadores móviles sobre ASN industriales resalta un riesgo de implementación generalizado y a menudo pasado por alto que exige atención. Protocolos coexpuestos en Rockwell – Allen-Bradley PLC Hosts (Fuente – Censys) Se encontraron servicios VNC en 771 instancias, lo que brinda a los atacantes acceso directo al escritorio remoto de las estaciones de trabajo HMI.

En el frente del COI, el giro de Censys de los indicadores publicados reveló que las siete direcciones IP 185.82.73.x de CISA en realidad representan una única estación de trabajo de ingeniería de Windows con múltiples servidores que ejecuta la cadena de herramientas completa de Rockwell, no siete máquinas separadas. La publicación Censys advierte que 5219 PLC de Rockwell/Allen-Bradley están expuestos en medio de la actividad de APT iraní apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗