Por una sola línea de Python: decenas de miles de dispositivos en un botnet

Una vulnerabilidad crítica en el servidor Wazuh, corregida ya en febrero, está siendo explotada activamente para desplegar botnets basadas en Mirai con el objetivo de realizar ataques DDoS. Especialistas de Akamai informaron del inicio de la explotación en marzo de 2025, pocas semanas después de la publicación de un exploit y del lanzamiento de la versión 4.9.1, que corrige el problema.

La vulnerabilidad CVE-2025-24016 (puntuación CVSS: 9.9) afecta a todas las versiones de Wazuh desde la 4.4.0. El problema reside en una peligrosa deserialización de datos en la API del servidor, donde los parámetros de DistributedAPI se transforman en objetos de Python mediante la función as_wazuh_object. Un atacante puede enviar un JSON malicioso para ejecutar código arbitrario de forma remota.

Según Akamai, el exploit está siendo utilizado por al menos dos botnets independientes, cada una con su propia variante de Mirai. La primera campaña detectada ejecuta un script que descarga el botnet desde un servidor externo ubicado en 176.65.134[.]62. Ese nodo distribuye binarios maliciosos de Mirai para arquitecturas como ARM, MIPS y otras. Las muestras corresponden a la familia LZRD, conocida desde 2023. También se destaca que las mismas versiones del botnet se utilizaron previamente en ataques a dispositivos de videovigilancia GeoVision obsoletos, aunque no se han establecido vínculos directos entre ambas campañas.

El análisis adicional de la infraestructura de ese servidor reveló otras variantes de Mirai, con nombres como “neon”, “vision” y una versión mejorada llamada V3G4. Además de Wazuh, el botnet explota otras vulnerabilidades conocidas, como la del TP-Link Archer AX21 (CVE-2023-1389), el componente YARN de Hadoop y el router ZTE ZXV10 H108L.

La segunda oleada de ataques, que también aprovecha la vulnerabilidad CVE-2025-24016, distribuye otro botnet: Resbot, también conocido como Resentual. Utiliza un mecanismo similar de entrega: ejecución de un script de shell, descarga de un binario malicioso y su activación. Una característica de Resbot es la marcada presencia de dominios con nombres italianos en su infraestructura, lo que, según analistas, podría indicar un enfoque hacia dispositivos usados por usuarios de habla italiana.

Este botnet escanea activamente los puertos 21 (FTP) y Telnet, y también explota múltiples vulnerabilidades en dispositivos del Internet de las Cosas. Entre los vectores explotados se encuentran vulnerabilidades antiguas en Huawei HG532 (CVE-2017-17215), Realtek SDK (CVE-2014-8361) y el router TrueOnline ZyXEL P660HN-T v1 (CVE-2017-18368).

Los expertos destacan que el código fuente de Mirai sigue siendo uno de los más utilizados en la industria de los botnets. Es fácilmente modificable, y cada nuevo exploit publicado da lugar a nuevas olas de infecciones. Los últimos ataques también han aprovechado la vulnerabilidad CVE-2024-3721 —una inyección de comandos en los grabadores TBK DVR-4104 y DVR-4216. A través de ella, los atacantes ejecutan un script que descarga el botnet desde el servidor 42.112.26[.]36. Antes de su activación, se realiza una verificación para detectar entornos virtuales o QEMU.

El mayor número de infecciones se ha registrado en China, India, Egipto, Turquía, Ucrania y Brasil. En la red se han detectado más de 50.000 dispositivos DVR accesibles que podrían ser controlados.

La magnitud de los ataques también está confirmada por StormWall: en el primer trimestre de 2025, se detectó la mayor actividad de botnets en la región Asia-Pacífico, incluyendo China, India, Taiwán, Singapur, Japón, Malasia, Hong Kong, Indonesia, Corea del Sur y Bangladés. Preocupan especialmente las nuevas tácticas: los ataques por API flooding y carpet bombing evolucionan más rápido que los tradicionales ataques por TCP y UDP, lo que obliga a las empresas a replantear sus estrategias de defensa.

Paralelamente, el FBI emitió una advertencia sobre una nueva iteración del botnet BADBOX 2.0, que incluye numerosos dispositivos con software malicioso preinstalado, fabricados principalmente en China. Estos dispositivos se utilizan como nodos proxy dentro de infraestructuras criminales. Según el organismo, los dispositivos se infectan antes de su compra o justo después, al instalar aplicaciones que contienen puertas traseras.