Los actores de amenaza están explotando una rotura de seguridad crítica ahora parada en el servidor Wazur para dejar caer dos variantes diferentes de Botnet de Mirai y usarlas para realizar ataques distribuidos de denegación de servicio (DDoS).
Akamai, que descubrió por primera vez los esfuerzos de explotación a fines de marzo de 2025, dijo que la campaña maliciosa se dirige a CVE-2025-24016 (puntaje CVSS: 9.9), una vulnerabilidad de deserialización insegura que permite la ejecución de código remoto en los servidores WAZUH.
El defecto de seguridad, que afecta a todas las versiones del software del servidor, incluyendo y por encima de 4.4.0, se abordó en febrero de 2025 con el impulso de 4.9.1. Se reveló públicamente una exploit de prueba de concepto (POC) aproximadamente al mismo tiempo que se liberaron los parches.
El problema está enraizado en la API Wazuh, donde los parámetros en DistributedApi se serializan como JSON y se deserializan usando “AS_WAZUH_OBJECT” en el archivo Framework/Wazuh/Core/Cluster/Common.py. Un actor de amenaza podría armarse la vulnerabilidad inyectando cargas efectos de JSON maliciosas para ejecutar el código de Python injusto de forma remota.
La compañía de infraestructura web dijo que descubrió intentos de dos botnets diferentes para explotar CVE-2025-24016 solo semanas luego de la divulgación pública de la rotura y la emancipación del POC. Los ataques se registraron a principios de marzo y mayo de 2025.
“Este es el zaguero ejemplo de los plazos de tiempo de explotación cada vez más acelerados que los operadores de Botnet han acogido para CVE recientemente publicados”, dijeron los investigadores de seguridad Kyle Lefton y Daniel Messing en un documentación compartido con The Hacker News.
En primera instancia, un exploit exitoso allana el camino para la ejecución de un script de shell que sirve como descargador para la carga útil de Botnet de Mirai desde un servidor extranjero (“176.65.134 (.) 62”) para diferentes arquitecturas. Se evalúa que las muestras de malware son variantes de LZRD Mirai, que ha existido desde 2023.
Vale la pena señalar que LZRD igualmente se desplegó recientemente en ataques que explotan los dispositivos de Internet de las cosas (EOL) de Geovisión (EOL). Sin requisa, Akamai le dijo a The Hacker News que no hay evidencia de que estos dos grupos de actividades sean obra del mismo actor de amenaza entregado que Myriad Botnet usa LZRD.
El observación de infraestructura adicional de “176.65.134 (.) 62” y sus dominios asociados han llevado al descubrimiento de otras versiones de Botnet de Mirai, incluidas las variantes LZRD llamadas “neón” y “visión”, y una lectura actualizada de V3G4.
Algunos de los otros defectos de seguridad explotados por la botnet incluyen fallas en Hadoop Yarn, TP-Link Archer AX21 (CVE-2023-1389) y un error de ejecución de código remoto en los enrutadores ZTE ZXV10 H108L.
La segunda botnet para aprovecharse de CVE-2025-24016 emplea una organización similar de usar un script de shell pillo para entregar otra variación de botnet Mirai denominada resbot (igualmente conocida como resentual).
“Una de las cosas interesantes que notamos sobre esta botnet fue el habla asociado. Fue usar una variedad de dominios para difundir el malware que todos tenían nomenclatura italiana”, dijeron los investigadores. “Las convenciones de nombres lingüísticas podrían indicar una campaña para dirigir dispositivos propiedad y administrados por usuarios de acento italiana en particular”.
Adicionalmente de intentar tenderse a través de FTP sobre el puerto 21 y realizar el escaneo de Telnet, se ha antagónico que Botnet aprovecha una amplia viso de exploits dirigidos a Huawei HG532 Router (CVE-2017-17215), SDK (CVE-2014-8361) y TrueOnline Zyxel P660HN-T V1 V1 ROURETER ROUUTERTER ROUUTERTER ROUURTER ROUUTERTER ROUUTER) (CVE-2017-18368).
“La propagación de Mirai continúa relativamente sin cesar, ya que sigue siendo proporcionado sencillo reutilizar y reutilizar el código fuente antiguo para configurar o crear nuevas botnets”, dijeron los investigadores. “Y los operadores de Botnet a menudo pueden encontrar éxito simplemente aprovechando las exploits recientemente publicadas”.
CVE-2025-24016 está allí de ser la única vulnerabilidad a ser abusada por las variantes de Botnet Mirai. En los ataques recientes, los actores de amenaza igualmente han diligente la vulnerabilidad de inyección de comandos CVE-2024-3721, una vulnerabilidad de inyección de comandos de severidad media que afecta a los dispositivos de cinta de video digital TBK DVR-4104 y DVR-4216, para incluirlos en la Botnet.
La vulnerabilidad se utiliza para activar la ejecución de un script de shell que es responsable de descargar la botnet Mirai de un servidor remoto (“42.112.26 (.) 36”) y ejecutarlo, pero no antaño de corroborar si actualmente se ejecuta en el interior de una máquina supuesto o QEMU.
La compañía rusa de ciberseguridad Kaspersky dijo que las infecciones se concentran en China, India, Egipto, Ucrania, Rusia, Turquía y Brasil, y agregó que identificó más de 50,000 dispositivos DVR expuestos en semirrecta.
“Explotar los defectos de seguridad conocidos en dispositivos y servidores IoT que no se han parcheado, yuxtapuesto con el uso generalizado de malware dirigido a sistemas basados en Linux, lleva a un número significativo de bots constantemente buscando en Internet los dispositivos para infectar”, dijo el investigador de seguridad Anderson Leite.
La divulgación se produce cuando China, India, Taiwán, Singapur, Japón, Malasia, Hong Kong, Indonesia, Corea del Sur y Bangladesh se han convertido en los países más específicos de la región APAC en el primer trimestre de 2025, según las estadísticas compartidas por Stormwall.
“Las inundaciones de API y los bombardeos de alfombras están creciendo más rápido que los ataques TCP/UDP volumétricos tradicionales, lo que empuja a las empresas a adoptar defensas más inteligentes y más flexibles”, dijo la compañía. “Al mismo tiempo, el aumento de las tensiones geopolíticas está impulsando un aumento en los ataques contra los sistemas gubernamentales y Taiwán, lo que destaca la anciano actividad de los hacktivistas y los actores de amenazas patrocinados por el estado”.
Además sigue un aviso de la Oficina Federal de Investigación de EE. UU. (FBI) de que el Badbox 2.0 Botnet ha infectado a millones de dispositivos conectados a Internet, la mayoría de los cuales se fabrican en China, para convertirlos en representantes residenciales para simplificar la actividad criminal.
“Los ciberdelincuentes obtienen llegada no calificado a las redes domésticas al configurar el producto con software pillo antaño de la transacción del becario o infectar el dispositivo, ya que descarga las aplicaciones requeridas que contienen puestas traseras, generalmente durante el proceso de configuración”, dijo el FBI.
“El Badbox 2.0 Botnet consta de millones de dispositivos infectados y mantiene numerosas puertas traseras para servicios proxy que los actores cibernéticos explotan al entregar o proporcionar llegada sin cargo a las redes domésticas comprometidas para ser utilizadas para diversas actividades criminales”.
