Se ha observado que los actores de amenazas explotan activamente fallas de seguridad en los dispositivos de Internet de las cosas (EOL) de Geovisión (IoT) para acorralarlos en una botnet Mirai para realizar ataques distribuidos de negación de servicio (DDoS).
La actividad, observada por primera vez por el Equipo de Inteligencia y Respuesta de Seguridad de Akamai (SIRT) a principios de abril de 2025, implica la explotación de dos fallas de inyección de comandos del sistema operativo (CVE-2024-6047 y CVE-2024-11120, puntajes CVSS: 9.8) que podrían usarse para ejecutar los comandos del sistema arbitrario.
«El Exploit se dirige al punto final /datesetting.cgi en dispositivos IoT de Geovisión, e inyecta comandos en el parámetro Szsrvipaddr», dijo el investigador de Akamai, Kyle Lefton, en un informe compartido con Hacker News.
En los ataques detectados por la compañía de seguridad e infraestructura web, se ha encontrado que Botnet inyectaba comandos para descargar y ejecutar una versión ARM del Mirai Malware llamado LZRD.
Algunas de las vulnerabilidades explotadas por la botnet incluyen una vulnerabilidad de hilo Hadoop, CVE-2018-10561 y un digiever que afectó el error que se destacó en diciembre de 2024.
Hay alguna evidencia que sugiere que la campaña se superpone con la actividad previamente registrada bajo el nombre infectado.
«Una de las formas más efectivas para que los ciberdelincuentes comiencen a ensamblar un botón es apuntar a un firmware mal asegurado y anticuado en dispositivos más antiguos», dijo Lefton.
«Hay muchos fabricantes de hardware que no emiten parches para dispositivos retirados (en algunos casos, el fabricante en sí puede estar desaparecido)».
Dado que es poco probable que los dispositivos de geovisión afectados reciban nuevos parches, se recomienda que los usuarios se actualicen a un modelo más nuevo para salvaguardar contra posibles amenazas.
Samsung MagicInfo Flaw explotado en ataques de Mirai
La divulgación se produce cuando Arctic Wolf y el Sans Technology Institute advirtieron sobre la explotación activa del CVE-2024-7399 (CVSS Score: 8.8), una falla transversal de ruta en el servidor Samsung MagicInfo 9 que podría permitir a un atacante escribir archivos arbitrarios como autoridad del sistema, para entregar el Botnet de Mirai.
Si bien Samsung abordó el problema en agosto de 2024, desde entonces ha sido armado por los atacantes después de la liberación de una prueba de concepto (POC) el 30 de abril de 2025, para recuperar y ejecutar un script de shell responsable de descargar la botnet.
«La vulnerabilidad permite la redacción arbitraria de archivos por parte de usuarios no autenticados, y en última instancia puede conducir a la ejecución de código remoto cuando la vulnerabilidad se usa para escribir archivos de Javaserver Pages (JSP) especialmente elaborados», dijo Arctic Wolf.
Se recomienda a los usuarios que actualicen sus instancias a la versión 21.1050 y luego para mitigar el impacto operativo potencial.