Las fallas de seguridad críticas parcheadas actuales del servidor Wazur son explotados por actores de amenaza, dejando caer dos variantes diferentes de botnet de Mirai y usándolas para llevar a cabo ataques de denegación distribuida de servicio (DDoS).
Akamai, quien descubrió por primera vez el esfuerzo de explotación a fines de marzo de 2025, dijo que la campaña maliciosa estaba apuntando a CVE-2025-24016 (puntaje CVSS: 9.9).
Los defectos de seguridad que afectan todas las versiones del software del servidor, incluido 4.4.0 y superior, se abordaron en febrero de 2025 con el lanzamiento de 4.9.1. La Exploit de Prueba de concepto (POC) se lanzó al mismo tiempo que se lanzó el parche.
El problema está enraizado en la API Wazuh, donde los parámetros de la distribución se serializan como JSON y están descartados utilizando «AS_WAZUH_Object» en el archivo Framework/Wazuh/Core/Cluster/Common.py. Los actores de amenaza pueden armarse vulnerabilidades inyectando cargas útiles de JSON maliciosas y ejecutando un código de pitón arbitrario de forma remota.
La compañía de infraestructura web dijo que ha descubierto intentos de explotar CVE-2025-24016 por dos botnets diferentes. El ataque se registró a principios de marzo y mayo de 2025.
«Este es el último ejemplo de la línea de tiempo que los operadores de Botnet han adoptado para sus CVE recientemente liberados en un momento en constante reducción», dijeron los investigadores de seguridad Kyle Lefton y Daniel Messing en un informe compartido con Hacker News.
En el primer ejemplo, una exploit exitosa allana el camino para ejecutar un script de shell que actúa como descargador para cargas útiles de Botnet de Mirai de servidores externos («176.65.134 (.) 62») de varias arquitecturas. La muestra de malware está clasificada como una variante de LZRD Mirai, que ha existido desde 2023.
También vale la pena señalar que LZRD se ha desplegado recientemente en ataques que utilizan dispositivos Geovision End of Life (EOL) de las cosas (IoT). Sin embargo, Akamai le dijo a Hacker News que no hay evidencia de que estos dos grupos de actividad sean obras del mismo actor de amenaza, dado que los operadores de Botnet están utilizando LZRD.
El análisis de infraestructura adicional de «176.65.134 (.) 62» y sus dominios asociados revelaron los descubrimientos de otras versiones de Botnet de Mirai, incluidas las variantes LZRD llamadas «neón» y «visión», así como versiones actualizadas de V3G4.
Otros defectos de seguridad explotados en botnets incluyen fallas de hilo Hadoop, TP-Link Archer AX21 (CVE-2023-1389) y errores de ejecución de código remoto en los enrutadores ZTE ZXV10 H108L.
La segunda botnet que abusa de CVE-2025-24016 emplea una estrategia similar que utiliza un script de shell malicioso para proporcionar otra variante de botnet Mirai llamada resbot (también conocida como resentica).
«Una de las cosas interesantes que notamos sobre esta botnet era el lenguaje relacionado. Estaba difundiendo malware usando todos los dominios, todos con nomenclatura italiana», dijeron los investigadores. «Las convenciones de nombres de lenguaje pueden indicar campañas que se dirigen a dispositivos propiedad y operados por usuarios de habla italiana, particularmente aquellas que».
In addition to spreading over FTP to port 21 and performing Telnet scans, the botnet has been found to utilize a wide range of exploits targeting the Huawei HG532 router (CVE-2017-17215), RealTek SDK (CVE-2014-8361), and the TrueNlineLline Zyxel P660hn-T V1 Router. (CVE-2017-18368).
«La propagación de Mirai continúa relativamente sin cesar, ya que sigue siendo bastante fácil reutilizar y reutilizar el código fuente antiguo para configurar o crear nuevas botnets», dijeron los investigadores. «Y los operadores de Botnet a menudo pueden tener éxito simplemente aprovechando las exploits recién lanzadas».
CVE-2025-24016 está lejos de ser la única vulnerabilidad abusada por la variante Mirai Botnet. En los ataques recientes, los actores de amenaza también han aprovechado la vulnerabilidad de inyección de comandos CVE-2024-3721, una vulnerabilidad de inyección de comandos moderadamente radical que afecta a los dispositivos de grabación de video digital TBK DVR-4104 y DVR-4216 para unirse a la botnet.
La vulnerabilidad se usa para descargar y ejecutar Mirai Botnet desde un servidor remoto («42.112.26 (.) 36») y activar la ejecución de scripts de shell no antes de ejecutarlo, pero antes de verificar si se está ejecutando dentro de una máquina virtual o QEMU.
La compañía rusa de ciberseguridad Kaspersky dijo que las infecciones se concentran en China, India, Egipto, Ucrania, Rusia, Turquía y Brasil, y han identificado más de 50,000 dispositivos DVR expuestos en línea.
«El uso generalizado de malware dirigido a sistemas basados en Linux, así como el uso de defectos de seguridad conocidos en dispositivos y servidores de IoT sin parpadear, lo que lleva a un número considerable de bots que constantemente buscan en Internet e infectan dispositivos.
Las revelaciones se realizarán cuando China, India, Taiwán, Singapur, Singapur, Japón, Malasia, Hong Kong, Indonesia, Corea del Sur y Bangladesh aparecieron como los países más específicos de la región de APAC en el primer trimestre de 2025, según las estadísticas compartidas por Stormwall.
«Las inundaciones de API y los bombardeos de alfombras están creciendo más rápido que los ataques TCP/UDP volumétricos tradicionales, alentando a las empresas a adoptar defensas más inteligentes y flexibles», dijo la compañía. «Al mismo tiempo, las crecientes tensiones geopolíticas han impulsado un aumento en los ataques contra el sistema gubernamental y Taiwán, destacando el aumento de la actividad de los hatitivisistas y los actores de amenazas patrocinados por el estado».
Y después de una recomendación de la Oficina Federal de Investigación de los Estados Unidos (FBI), Badbox 2.0 botnets ha infectado a millones de dispositivos conectados a Internet, la mayoría de los cuales se fabrican en China y se convierten en comisiones de vivienda para promover actividades criminales.
«Los ciberdelincuentes obtienen acceso no autorizado a sus redes domésticas al configurar sus productos con software malicioso antes de que los usuarios realicen una compra, o infectando sus dispositivos para descargar las aplicaciones necesarias, generalmente incluyendo puertas traseras, durante el proceso de configuración», dijo el FBI.
«El Badbox 2.0 Botnet consta de millones de dispositivos infectados, proporcionando acceso gratuito a las redes domésticas comprometidas utilizadas para una variedad de actividades criminales, o manteniendo numerosas puertas traseras para los servicios de poder explotados por los cibercriminales».
Source link
