Una variante de botnet de Mirai doblada Agubot se ha observado activamente intentando explotar una falla de seguridad de seguridad media que impacta los teléfonos Mitel para atraparlos en una red capaz de montar ataques distribuidos de denegación de servicio (DDoS).
La vulnerabilidad en cuestión es CVE-2024-41710 (puntaje CVSS: 6.8), un caso de inyección de comandos en el proceso de arranque que podría permitir que un actor malicioso ejecute comandos arbitrarios dentro del contexto del teléfono.
Afecta la serie Mitel 6800, la serie 6900, los teléfonos SIP de la serie 6900W y la Unidad de la Conferencia Mitel 6970. Fue abordado por Mitel a mediados de julio de 2024. Una exploit de prueba de concepto (POC) para la falla se puso a disposición del público en agosto.
Fuera de CVE-2024-41710, algunas de las otras vulnerabilidades dirigidas por el Botnet incluyen CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 y A Ejecución de código remoto de ejecución de fallas de orientación LinkSys E-Series E-Series.
«Aquabot es una botnet que se construyó en el marco de Mirai con el objetivo final de la negación de servicio distribuida (DDoS)», dijeron los investigadores de Akamai Kyle Lefton y Larry Cashdollar. «Se sabe desde noviembre de 2023».
La compañía de infraestructura web dijo que detectó intentos de explotación activa contra CVE-2024-41710 desde principios de enero de 2025, con los ataques que reflejan una «carga útil casi idéntica al POC» para implementar el malware Botnet.
El ataque implica ejecutar un script de shell que, a su vez, usa el comando «wget» para recuperar Aquabot para diferentes arquitecturas de CPU.
Se ha evaluado que la variante de Aquabot Mirai vistta en el ataque es una tercera iteración del malware, que luce una nueva función «Report_Kill» que informa al servidor de comando y control (C2) cuando se capta una señal de asesinato en el infectado dispositivo. Sin embargo, no se ha encontrado que el envío de esta información obtenga ninguna respuesta del servidor hasta la fecha.
Esta nueva versión, además de activar la comunicación C2 al detectar ciertas señales, se renombra a «httpd.x86» para evitar atraer atención y está programado para terminar procesos que coinciden con ciertos requisitos, como las conchas locales. Se sospecha que las características de manejo de la señal probablemente se incorporan para crear variantes más sigilosas o detectar actividades maliciosas de botnets competitivos.
Hay alguna evidencia que sugiere que los actores de amenaza detrás de Aquabot están ofreciendo la red de hosts comprometidos como un servicio DDoS en Telegram bajo el firewall Cursinq de los apodos, los servicios oculares y el ojo.
El desarrollo es un signo de que Mirai continúa afectando a una amplia gama de dispositivos conectados a Internet que a menudo carecen de características de seguridad adecuadas, o han alcanzado el final de la vida o se han dejado accesible con la configuración predeterminada y las contraseñas, haciéndolas frutas bajas maduras para explotación y un conducto clave para ataques DDoS.
«Los actores de amenaza comúnmente afirman que la botnet se usa solo para fines de prueba de mitigación DDoS para tratar de engañar a los investigadores o la aplicación de la ley», dijeron los investigadores.
«Los actores de amenaza afirmarán que es solo un POC o algo educativo, pero un análisis más profundo muestra que, de hecho, anuncian DDoS como un servicio, o los propietarios se jactan de ejecutar su propia botnet en Telegram».