Resumen ejecutivo
SoftEther VPN es un cliente VPN gratuito y de código abierto creado por investigadores en Japón y utilizado para uso comercial y no comercial. Estados Unidos, Japón y China son los tres primeros países en los que Censys observó el mayor número de hosts SoftEther. Censys también descubrió que cuatro de los diez primeros sistemas autónomos en los que se encontró SoftEther son organizaciones con sede en China.
Desde 2019 hasta febrero de 2023, varios grupos de amenazas, incluidos APT 41, Gallium, Venomous Bear e Hydrochasma, han utilizado el software SoftEther VPN para mantener un acceso persistente en los entornos de sus víctimas. Estos actores de amenazas instalan SoftEther VPN en el host de una víctima y lo configuran para que se conecte a la infraestructura del actor de amenazas. Esto les permite crear y mantener un punto de apoyo en la red de la víctima y facilitar acciones posteriores (1,2,3,4).
Además, el FBI ha declarado que APT 41, un grupo de amenazas con base en China, ha explotado específicamente vulnerabilidades del software SoftEther VPN para desplegar el malware "Skeleton Key" con el fin de crear una contraseña maestra que les permita acceder a cualquier cuenta del dominio de la víctima (5).
Hallazgos
Entre el 20 y el 21 de marzo de 2023, Censys descubrió más de 148.000 servidores VPN SoftEther en todo el mundo; de ellos, alrededor de 32.000 también ejecutan IKE (Internet Exchange Key), un protocolo VPN comúnmente observado, y más de 36.000 ejecutan el protocolo SSH, que puede ser utilizado y abusado por los atacantes para la administración remota.
Censys descubrió que casi el 13% de los servidores VPN de SoftEther Censys identificados en todo el mundo (a través de títulos HTTP HTML y huellas Jarm específicas de SoftEther) estaban ubicados en Estados Unidos, seguidos de cerca por Japón con un 8% y China inmediatamente después con un 7%.
Mapa de calor de todos los servidores VPN de SoftEther
En el momento de escribir este artículo, los siguientes son los diez países principales en los que Censys pudo observar los servidores VPN de SoftEther, junto con un breve desglose detallado de estos servidores en Estados Unidos.
Las siguientes estadísticas muestran los diez principales sistemas autónomos (basados en enrutamiento BGP) que anuncian direcciones IP que alojan servidores VPN SoftEther. Cuatro de los sistemas autónomos Censys que se encuentran entre los diez primeros son organizaciones con sede en China.
Censys también examinó los tres sistemas autónomos de propiedad china de la lista anterior (TENCENT-NET-AP-CN, CHINANET-BACKBONE, TENCENT-NET-AP y ALIBABA-CN-NET) y desglosó las direcciones IP anunciadas dentro de Estados Unidos y encontró 1.154 hosts que ejecutan servidores VPN SoftEther. California tiene el mayor número de hosts estadounidenses anunciados por China, con 1.143 (99,05% del total), mientras que Virginia sólo tiene 11 hosts (0,95%).
Las siguientes estadísticas cubren el número de hosts por los diez primeros países, basándose en las siguientes búsquedas de sintaxis Censys :
Además de los datos anteriores, Censys identificó "SoftEther" dentro de una serie de certificados presentados en un total de 606 hosts en todo el mundo.
