Los investigadores de ciberseguridad han llamado la atención sobre una nueva campaña que está explotando activamente una equivocación de seguridad crítica recientemente revelada en Langflow para entregar el Flodrix Malware Botnet.
“Los atacantes usan la vulnerabilidad para ejecutar scripts de descarga en servidores Langflow comprometidos, que a su vez obtienen e instalan el malware Flodrix”, dijeron los investigadores de tendencia aliakbar Zahravi, Ahmed Mohamed Ibrahim, Sunil Bharti y Shubham Singh en un mensaje técnico publicado hoy.
La actividad implica la explotación de CVE-2025-3248 (Puntuación CVSS: 9.8), una vulnerabilidad de autenticación faltante en Langflow, un “situación visual” basado en Python para construir aplicaciones de inteligencia sintético (IA).
La explotación exitosa de la equivocación podría permitir a los atacantes no autenticados ejecutar código caprichoso a través de solicitudes HTTP diseñadas. Fue parcheado por Langflow en marzo de 2025 con la lectura 1.3.0.
El mes pasado, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) marcó la explotación activa de CVE-2025-3248 en la naturaleza, con el Instituto Sans de Tecnología revelando que detectó intentos de exploit contra sus servidores de honeypot.
Los últimos hallazgos de Trend Micro muestran que los actores de amenazas están apuntando a las instancias de flujo de Langflow expuestas a Internet que aprovechan un código de concepto de concepto (POC) acondicionado para aceptar a mango un examen y soltar un descargador de scripts de shell responsable de recuperar y ejecutar el malware Flodrix Botnet de “80.66.75 () 121: 25565”. “
Una vez instalado, Flodrix establece comunicaciones con un servidor remoto para percibir comandos a través de TCP para divulgar ataques distribuidos de denegación de servicio (DDoS) contra direcciones IP de interés objetivo. Botnet igualmente admite conexiones a través de la red de anonimato TOR.
“Legado que Langflow no impone nervio de entrada o sandboxing, estas cargas avíos se compilan y ejecutan en el interior del contexto del servidor, lo que lleva a (ejecución de código remoto)”, dijeron los investigadores. “Según estos pasos, el atacante probablemente esté perfilando todos los servidores vulnerables y usa los datos recopilados para identificar objetivos de detención valencia para futuras infecciones”.
Trend Micro dijo que identificó a los actores de amenaza desconocidos para que organicen diferentes scripts de descarga en el mismo host utilizado para agenciárselas Flodrix, lo que sugiere que la campaña está experimentando un avance activo.
Se evalúa que Flodrix es una desarrollo de otra botnet emplazamiento Leethozer que está vinculada al clan Moobot. La variación mejorada incorpora la capacidad de eliminarse discretamente, minimizar las trazas forenses y complicar los esfuerzos de exploración al ofuscar las direcciones del servidor de comando y control (C2) y otros indicadores importantes.
“Otro cambio significativo es la ingreso de nuevos tipos de ataque DDoS, que ahora igualmente están encriptados, agregando una capa adicional de ofuscación”, dijo Trend Micro. “La nueva muestra igualmente enumera notablemente los procesos de ejecución al cascar /Proc Directory para penetrar a todos los procesos de ejecución”.
