La Dirección de Señales de Australia (ASD) ha emitido un boletín sobre los ciberataques en curso contra dispositivos Cisco IOS XE sin parches en el país con un implante previamente indocumentado conocido como CARAMELOS MALOS .
La actividad, según la agencia de inteligencia, implica la explotación de CVE-2023-20198 (puntuación CVSS: 10,0), una vulnerabilidad crítica que permite a un atacante remoto no autenticado crear una cuenta con privilegios elevados y utilizarla para hacerse con el control de los sistemas vulnerables.
El defecto de seguridad ha sido objeto de explotación activa desde el pasado 2023, con actores de amenazas vinculados a China, como Tifón salino utilizándolo como arma en los últimos meses para violar a los proveedores de telecomunicaciones.
ASD señaló que se han detectado variaciones de BADCANDY desde octubre de 2023, y que se siguió registrando una nueva serie de ataques en 2024 y 2025. Se estima que hasta 400 dispositivos en Australia se han visto comprometidos por el malware desde julio de 2025, de los cuales 150 dispositivos se infectaron solo en octubre.
«BADCANDY es una consola web basada en Lua de bajo capital, y los ciberactores suelen aplicar un parche no persistente después del compromiso para enmascarar el estado de vulnerabilidad del dispositivo en relación con el CVE-2023-20198», afirma. «En estos casos, la presencia del implante BADCANDY indica que el dispositivo Cisco IOS XE está en peligro, a través del sensor CVE-2023-20198».
La falta de un mecanismo de persistencia significa que no puede sobrevivir tras los reinicios del sistema. Sin embargo, si el dispositivo permanece sin parches y está expuesto a Internet, es posible que el autor de la amenaza vuelva a introducir el malware y recupere el acceso a él.
El TEA ha evaluado que los actores de la amenaza pueden detectar cuándo se retira el implante y están infectando los dispositivos nuevamente. Esto se basa en el hecho de que la reexplotación se ha producido en dispositivos sobre los que la agencia había emitido previamente notificaciones a las entidades afectadas.
Dicho esto, un reinicio no anulará otras acciones emprendidas por los atacantes. Por lo tanto, es esencial que los operadores del sistema apliquen los parches, limiten la exposición pública de la interfaz de usuario web y sigan las medidas necesarias pautas de endurecimiento emitido por Cisco para evitar futuros intentos de explotación.
Algunas de las otras acciones descritas por la agencia se enumeran a continuación:
- Revise la configuración en ejecución de las cuentas con el privilegio 15 y elimine las cuentas inesperadas o no aprobadas
- Revise las cuentas con cadenas aleatorias o «cisco_tac_admin», «cisco_support», «cisco_sys_manager» o «cisco» y elimínelas si no son legítimas
- Revise la configuración en ejecución para ver si hay interfaces de túnel desconocidas
- Revise el registro de contabilidad de comandos AAA del TACACS+ para ver los cambios de configuración, si está habilitado