Hace más de un año investigadores de seguridad publicaron un fallo en determinados routers D‑Link que ahora ha empezado a ser explotado de forma activa por un botnet basado en Mirai. El defecto, identificado como CVE‑2025‑29635, permite la ejecución de comandos remotos mediante una petición POST dirigida a un endpoint concreto del dispositivo, y según el equipo de respuesta de seguridad de Akamai (SIRT) esa debilidad ha sido aprovechada desde marzo de 2026 para incorporar equipos a una red maliciosa.
La técnica observada por Akamai no es sofisticada en su planteamiento: los atacantes envían peticiones que explotan la vulnerabilidad para moverse por rutas donde el sistema tiene permisos de escritura, descargan un script denominado dlink.sh desde un servidor remoto y lo ejecutan, lo que deriva en la instalación de un binario malicioso. Ese binario, bautizado por los analistas como “tuxnokill”, es una adaptación de Mirai preparada para funcionar en varias arquitecturas de CPU, y conserva el catálogo clásico de ataques de denegación de servicio distribuidos (DDoS) asociados a Mirai —síncronas TCP, amplificaciones UDP, y variantes de floods HTTP—.
La descripción técnica del fallo deja claro el vector: una petición POST al recurso /goform/set_prohibiting que invoca una función vulnerable y permite inyectar y ejecutar comandos en el equipo afectado. Puede consultarse la entrada pública de la vulnerabilidad en la base de datos nacional de vulnerabilidades para ver los detalles técnicos y el historial de la asignación CVE: NVD – CVE‑2025‑29635. El informe de Akamai, que documenta la campaña y muestra las señales recogidas en su red de honeypots, está disponible aquí: Akamai SIRT – análisis de la campaña.
Un dato relevante en este incidente es que la vulnerabilidad fue dada a conocer por los investigadores Wang Jinshuai y Zhao Jiangting hace más de un año y llegó a existir una prueba de concepto publicada brevemente en GitHub, que posteriormente los autores retiraron. Aun así, la explotación masiva en entornos reales no se había documentado hasta las observaciones recientes de Akamai.
Los responsables de la campaña no se han limitado a este único objetivo. Los mismos patrones de ataque detectados por Akamai aparecieron también en intentos de explotación contra fallos distintos, como CVE‑2023‑1389 que afecta a ciertos routers TP‑Link y una vulnerabilidad de ejecución remota en los routers ZTE ZXV10 H108L, y en todos los casos el desenlace fue el despliegue de una carga tipo Mirai.
El contexto agrava el riesgo: los modelos DIR‑823X afectados por CVE‑2025‑29635 llegaron al final de su vida útil en noviembre de 2024, según la propia D‑Link, lo que reduce las opciones de recibir un parche oficial. D‑Link ha dejado claro en sus políticas que no suele emitir excepciones de soporte para equipos EoL, de modo que millones de usuarios con hardware antiguo podrían no tener una actualización disponible; la notificación de fin de soporte está publicada en el sitio de la compañía: D‑Link – anuncio de fin de vida.
Este incidente recuerda por qué las botnets basadas en dispositivos IoT siguen siendo una amenaza persistente: aparatos con firmware sin actualizaciones, contraseñas por defecto y servicios de administración accesibles desde Internet ofrecen una superficie de ataque atractiva y estable. Mirai, en sus distintas reencarnaciones, ha demostrado que puede reaparecer con variantes capaces de compilarse para diferentes chips y sistemas operativos embebidos, multiplicando el riesgo en entornos domésticos y SME.
Si tienes uno de estos routers o equipos próximos en antigüedad, las medidas defensivas más efectivas pasan por sustituir el equipo por uno que aún reciba soporte y actualizaciones de seguridad. Mientras no sea posible el reemplazo, conviene minimizar la exposición: desactivar la administración remota si no es imprescindible, cambiar credenciales administrativas por contraseñas robustas y únicas, y vigilar comportamientos anómalos como reinicios inesperados, conexiones salientes hacia IPs desconocidas o cambios en la configuración que no hayas realizado.
Además, para administradores y equipos de seguridad es recomendable revisar los registros, bloquear en el perímetro los intentos de explotación conocidos y emplear inspección de tráfico para detectar descargas de scripts que intenten persistir en rutas con permisos de escritura. La inteligencia pública sobre estas campañas —como la de Akamai— y la descripción del CVE ayudan a ajustar reglas de detección y bloqueo en firewalls y sistemas de prevención de intrusiones.
La buena noticia es que la comunidad de seguridad dispone de documentación y análisis que permiten identificar y mitigar este tipo de amenazas; la mala es que el parque de dispositivos sin soporte seguirá siendo un vector explotable mientras existan equipos conectados sin mantenimiento. Para entender el alcance histórico y técnico de Mirai, cabe consultar piezas de referencia que describen la evolución de ese ecosistema malicioso, como el análisis de Brian Krebs sobre el botnet Mirai y sus consecuencias a gran escala: KrebsOnSecurity – El botnet Mirai.
En resumen, CVE‑2025‑29635 se ha convertido en la puerta de entrada para una campaña activa que instala una variante de Mirai en routers D‑Link que ya no reciben soporte. La solución más segura es el reemplazo del equipo por uno actualizado, y como medidas complementarias conviene reducir la superficie de ataque y monitorizar el comportamiento de la red para detectar signos de compromiso lo antes posible.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...