Los actores de amenaza están explotando una falla de seguridad crítica ahora parada en el servidor Wazur para dejar caer dos variantes diferentes de Botnet de Mirai y usarlas para realizar ataques distribuidos de denegación de servicio (DDoS).
Akamai, que descubrió por primera vez los esfuerzos de explotación a fines de marzo de 2025, dijo que la campaña maliciosa se dirige a CVE-2025-24016 (puntaje CVSS: 9.9), una vulnerabilidad de deserialización insegura que permite la ejecución de código remoto en los servidores WAZUH.
El defecto de seguridad, que afecta a todas las versiones del software del servidor, incluyendo y por encima de 4.4.0, se abordó en febrero de 2025 con el lanzamiento de 4.9.1. Se reveló públicamente una exploit de prueba de concepto (POC) aproximadamente al mismo tiempo que se liberaron los parches.
El problema está enraizado en la API Wazuh, donde los parámetros en DistributedApi se serializan como JSON y se deserializan usando «AS_WAZUH_OBJECT» en el archivo Framework/Wazuh/Core/Cluster/Common.py. Un actor de amenaza podría armarse la vulnerabilidad inyectando cargas útiles de JSON maliciosas para ejecutar el código de Python arbitrario de forma remota.
La compañía de infraestructura web dijo que descubrió intentos de dos botnets diferentes para explotar CVE-2025-24016 solo semanas después de la divulgación pública de la falla y la liberación del POC. Los ataques se registraron a principios de marzo y mayo de 2025.
«Este es el último ejemplo de los plazos de tiempo de explotación cada vez más acelerados que los operadores de Botnet han adoptado para CVE recientemente publicados», dijeron los investigadores de seguridad Kyle Lefton y Daniel Messing en un informe compartido con The Hacker News.
En primera instancia, un exploit exitoso allana el camino para la ejecución de un script de shell que sirve como descargador para la carga útil de Botnet de Mirai desde un servidor externo («176.65.134 (.) 62») para diferentes arquitecturas. Se evalúa que las muestras de malware son variantes de LZRD Mirai, que ha existido desde 2023.
Vale la pena señalar que LZRD también se desplegó recientemente en ataques que explotan los dispositivos de Internet de las cosas (EOL) de Geovisión (EOL). Sin embargo, Akamai le dijo a The Hacker News que no hay evidencia de que estos dos grupos de actividades sean obra del mismo actor de amenaza dado que Myriad Botnet usa LZRD.
El análisis de infraestructura adicional de «176.65.134 (.) 62» y sus dominios asociados han llevado al descubrimiento de otras versiones de Botnet de Mirai, incluidas las variantes LZRD llamadas «neón» y «visión», y una versión actualizada de V3G4.
Algunos de los otros defectos de seguridad explotados por la botnet incluyen fallas en Hadoop Yarn, TP-Link Archer AX21 (CVE-2023-1389) y un error de ejecución de código remoto en los enrutadores ZTE ZXV10 H108L.
La segunda botnet para abusar de CVE-2025-24016 emplea una estrategia similar de usar un script de shell malicioso para entregar otra variante de botnet Mirai denominada resbot (también conocida como resentual).
«Una de las cosas interesantes que notamos sobre esta botnet fue el lenguaje asociado. Fue usar una variedad de dominios para difundir el malware que todos tenían nomenclatura italiana», dijeron los investigadores. «Las convenciones de nombres lingüísticas podrían indicar una campaña para dirigir dispositivos propiedad y administrados por usuarios de habla italiana en particular».
Además de intentar extenderse a través de FTP sobre el puerto 21 y realizar el escaneo de Telnet, se ha encontrado que Botnet aprovecha una amplia gama de exploits dirigidos a Huawei HG532 Router (CVE-2017-17215), SDK (CVE-2014-8361) y TrueOnline Zyxel P660HN-T V1 V1 ROURETER ROUUTERTER ROUUTERTER ROUURTER ROUUTERTER ROUUTER) (CVE-2017-18368).
«La propagación de Mirai continúa relativamente sin cesar, ya que sigue siendo bastante sencillo reutilizar y reutilizar el código fuente antiguo para configurar o crear nuevas botnets», dijeron los investigadores. «Y los operadores de Botnet a menudo pueden encontrar éxito simplemente aprovechando las exploits recientemente publicadas».
CVE-2025-24016 está lejos de ser la única vulnerabilidad a ser abusada por las variantes de Botnet Mirai. En los ataques recientes, los actores de amenaza también han aprovechado la vulnerabilidad de inyección de comandos CVE-2024-3721, una vulnerabilidad de inyección de comandos de severidad media que afecta a los dispositivos de grabación de video digital TBK DVR-4104 y DVR-4216, para incluirlos en la Botnet.
La vulnerabilidad se utiliza para activar la ejecución de un script de shell que es responsable de descargar la botnet Mirai de un servidor remoto («42.112.26 (.) 36») y ejecutarlo, pero no antes de verificar si actualmente se ejecuta dentro de una máquina virtual o QEMU.
La compañía rusa de ciberseguridad Kaspersky dijo que las infecciones se concentran en China, India, Egipto, Ucrania, Rusia, Turquía y Brasil, y agregó que identificó más de 50,000 dispositivos DVR expuestos en línea.
«Explotar los defectos de seguridad conocidos en dispositivos y servidores IoT que no se han parcheado, junto con el uso generalizado de malware dirigido a sistemas basados en Linux, lleva a un número significativo de bots constantemente buscando en Internet los dispositivos para infectar», dijo el investigador de seguridad Anderson Leite.
La divulgación se produce cuando China, India, Taiwán, Singapur, Japón, Malasia, Hong Kong, Indonesia, Corea del Sur y Bangladesh se han convertido en los países más específicos de la región APAC en el primer trimestre de 2025, según las estadísticas compartidas por Stormwall.
«Las inundaciones de API y los bombardeos de alfombras están creciendo más rápido que los ataques TCP/UDP volumétricos tradicionales, lo que empuja a las empresas a adoptar defensas más inteligentes y más flexibles», dijo la compañía. «Al mismo tiempo, el aumento de las tensiones geopolíticas está impulsando un aumento en los ataques contra los sistemas gubernamentales y Taiwán, lo que destaca la mayor actividad de los hacktivistas y los actores de amenazas patrocinados por el estado».
También sigue un aviso de la Oficina Federal de Investigación de EE. UU. (FBI) de que el Badbox 2.0 Botnet ha infectado a millones de dispositivos conectados a Internet, la mayoría de los cuales se fabrican en China, para convertirlos en representantes residenciales para facilitar la actividad criminal.
«Los ciberdelincuentes obtienen acceso no autorizado a las redes domésticas al configurar el producto con software malicioso antes de la compra del usuario o infectar el dispositivo, ya que descarga las aplicaciones requeridas que contienen puestas traseras, generalmente durante el proceso de configuración», dijo el FBI.
«El Badbox 2.0 Botnet consta de millones de dispositivos infectados y mantiene numerosas puertas traseras para servicios proxy que los actores cibernéticos explotan al vender o proporcionar acceso gratuito a las redes domésticas comprometidas para ser utilizadas para diversas actividades criminales».