Actores de amenazas desconocidos están abusando de los enrutadores celulares industriales de Milesight para enviar mensajes SMS como parte de una campaña de espionaje dirigida a usuarios de países europeos desde al menos febrero de 2022.
La empresa francesa de ciberseguridad SEKOIA dijo que los atacantes están explotando la API del router celular para enviar mensajes SMS maliciosos que contienen URL de suplantación de identidad, y que las campañas se dirigen principalmente a Suecia, Italia y Bélgica utilizando URL tipográficas que se hacen pasar por plataformas gubernamentales como CSAM y eBox, así como a proveedores bancarios, postales y de telecomunicaciones.
De los 18 000 enrutadores de este tipo accesibles en la Internet pública, se considera que no menos de 572 son potencialmente vulnerables debido a que exponen las API de entrada y salida. Aproximadamente la mitad de los enrutadores vulnerables identificados se encuentran en Europa.
«Además, la API permite la recuperación de los mensajes SMS entrantes y salientes, lo que indica que la vulnerabilidad se ha explotado activamente para difundir campañas de SMS maliciosas desde al menos febrero de 2022», dijo la empresa dijo . «No hay evidencia de ningún intento de instalar puertas traseras o explotar otras vulnerabilidades en el dispositivo. Esto sugiere un enfoque específico, alineado específicamente con las operaciones de robo del atacante».
Se cree que los atacantes están explotando una falla de divulgación de información ahora parcheada que afecta a los enrutadores Milesight (CVE-2023-43261, puntuación CVSS: 7.5), que fue divulgado del investigador de seguridad Bipin Jitiya hace exactamente dos años. Semanas después, VulnCheck revelada que es posible que la vulnerabilidad se haya convertido en un arma en estado salvaje poco después de su divulgación pública.
Una investigación más profunda ha revelado que algunos de los enrutadores industriales exponen funciones relacionadas con los SMS, como el envío de mensajes o la visualización del historial de SMS, sin necesidad de ningún tipo de autenticación.
Es probable que los ataques impliquen una fase de validación inicial en la que los actores de la amenaza intentan verificar si un router determinado puede enviar mensajes SMS apuntando a un número de teléfono bajo su control. SEKOIA señaló además que la API también podría ser de acceso público debido a errores de configuración, dado que se han descubierto un par de enrutadores que utilizan versiones de firmware más recientes que no son susceptibles al CVE-2023-43261.
Las URL de suplantación de identidad distribuidas con este método incluyen JavaScript, que comprueba si se accede a la página desde un dispositivo móvil antes de publicar el contenido malicioso, lo que, a su vez, insta a los usuarios a actualizar su información bancaria para un supuesto reembolso.
Además, uno de los dominios utilizados en las campañas entre enero y abril de 2025, jnsi [.] xyz, incluye código JavaScript para deshabilitar las acciones con el botón derecho y las herramientas de depuración del navegador, con el fin de obstaculizar los esfuerzos de análisis. También se ha descubierto que algunas de las páginas registran las conexiones de los visitantes a un bot de Telegram llamado GroozaBot, dirigido por un actor llamado «Gro_oza», que parece hablar árabe y francés.
«Las campañas de destrucción parecen haberse llevado a cabo mediante la explotación de enrutadores celulares vulnerables, un vector de transmisión relativamente poco sofisticado, pero efectivo», dijo SEKOIA. «Estos dispositivos son particularmente atractivos para los actores de amenazas, ya que permiten la distribución descentralizada de SMS en varios países, lo que complica tanto los esfuerzos de detección como de eliminación».