Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, ha publicado un documento en el que informa de una nueva campaña de amenazas que afecta a determinados routers de acceso a Internet, especialmente modelos antiguos. Los atacantes consiguen acceder sigilosamente al router y modificar la configuración DNS, de modo que cuando un dispositivo conectado a uno de estos equipos solicita un dirección de Internet, el router redirige la petición a un resolver alojado en servidores Aeza en lugar de a su ISP habitual. A partir de ahí, un sistema de distribución de tráfico (TDS) basado en HTTP identifica a los usuarios y los redirige de forma selectiva a plataformas de tecnologías de publicidad on-line (Adtech) que a menudo conducen a sitios web potencialmente peligrosos.

Las principales características del modo de operación de esta amenaza son:

• Amenaza global. La amenaza está afectando a routers en todo el mundo y los investigadores han detectado evidencias de esta actividad maliciosa en cerca de cuarenta países. El actor malicioso compromete remotamente los equipos, especialmente modelos antiguos, y modifica su configuración de DNS. Todos los teléfonos, portátiles, dispositivos inteligentes o dispositivos IoT que usan uno de estos routers comprometidos comienzan a utilizar por defecto la infraestructura de DNS controlada por el atacante.

• DNS oculto alojado en Aeza. En lugar de utilizar los resolvers del ISP, los routers comprometidos envían todas las consultas DNS a resolvers alojados en Aeza International, una empresa de hosting supuestamente segura, autorizada por el gobierno de EE.UU. en julio de 2025. Estos resolvers ocultos suelen dar respuestas fiables a peticiones de sitios web importantes como Google, pero son muy impredecibles para otros dominios, redirigiendo a los usuarios objetivo al TDS malicioso de los atacantes.

• Redireccionamiento de usuarios mediante un sistema TDS. Una vez que el tráfico llega al TDS, se registra a los usuarios y se verifica que provienen de un router comprometido. Cuando superan estas comprobaciones, se les redirige a través de plataformas de marketing y de publicidad on-line, que a su vez dirigen al usuario a webs potencialmente peligrosas que a menudo contienen malware y otra serie de amenazas.

Renée Burton, VP de Infoblox Threat Intel, ha comentado. «Cuando un usuario trata de acceder a un sitio de Internet, nunca se pregunta qué procedimiento utiliza su router para obtener la dirección, simplemente confían en que la respuesta será correcta. Esta campaña demuestra lo peligroso que puede resultar una vulneración de esa confianza, sin que el usuario se percate de ello: una vez que los atacantes controlan el DNS en el router, controlan también cada conexión a Internet, y el usuario puede ser desviado, sin su conocimiento a sitios que tratan de rentabilizar su navegación”.

Infoblox recomienda como primera medida la actualización de los router, sustituyéndolos por equipos más modernos que protejan la configuración DNS. En el ámbito corporativo, y desde el punto de vista organizativo, los departamentos de TI deben tratar el DNS como una infraestructura de seguridad crítica, implementando controles que detecten y detengan el tráfico que se dirige a resolvers maliciosos conocidos y redes “en la sombra”.