La botnet Ballista sta sfruttando una vulnerabilità non corretta nei router TP-Link Archer, come rivelato dal team di Cato CTRL. Questa campagna sfrutta una vulnerabilità di esecuzione di codice remoto (RCE) nei router TP-Link Archer (CVE-2023-1389) per diffondersi automaticamente su Internet. Tale vulnerabilità ad alta gravità potrebbe consentire l'iniezione di comandi e successivamente l'esecuzione di codice da remoto.

Le prime prove di sfruttamento attivo di questa vulnerabilità risalgono all'aprile 2023, quando attori di minacce non identificati hanno iniziato a usarla per distribuire malware botnet come Mirai. Col tempo, è stata utilizzata anche per diffondere altre famiglie di malware come Condi e AndroxGh0st. Cato CTRL ha rilevato la campagna Ballista il 10 gennaio 2025, con l'ultimo tentativo di sfruttamento registrato il 17 febbraio.

Dettagli sull'attacco

La sequenza di attacco prevede l'uso di un malware dropper, uno script shell chiamato "dropbpb.sh", progettato per recuperare ed eseguire il binario principale sul sistema target per diverse architetture di sistema, tra cui mips, mipsel, armv5l, armv7l e x86_64. Una volta eseguito, il malware stabilisce un canale di comando e controllo (C2) criptato sulla porta 82 per assumere il controllo del dispositivo.

Il malware è in grado di eseguire comandi shell per ulteriori attacchi RCE e denial-of-service (DoS) e cerca di leggere file sensibili sul sistema locale. Alcuni dei comandi supportati includono "flooder" per attacchi di flooding, "exploiter" per sfruttare CVE-2023-1389, "start" per avviare il modulo, "close" per arrestare la funzione di attivazione del modulo, "shell" per eseguire un comando shell Linux e "killall" per terminare il servizio.

Il malware è progettato per terminare eventuali istanze precedenti di se stesso ed eliminare la propria presenza una volta avviato. Inoltre, si diffonde ad altri router cercando di sfruttare la vulnerabilità. L'uso di un indirizzo IP C2 italiano (2.237.57[.]70) e la presenza di stringhe in lingua italiana nei binari del malware suggeriscono il coinvolgimento di un attore di minacce italiano sconosciuto.

Tuttavia, sembra che il malware sia ancora in fase di sviluppo attivo, dato che l'indirizzo IP non è più funzionale e esiste una nuova variante del dropper che utilizza domini di rete TOR invece di un indirizzo IP hard-coded. Una ricerca sulla piattaforma di gestione della superficie di attacco Censys rivela che oltre 6.000 dispositivi sono bersagliati da Ballista, con una concentrazione di dispositivi vulnerabili in Brasile, Polonia, Regno Unito, Bulgaria e Turchia.

La botnet ha preso di mira organizzazioni nei settori manifatturiero, medico/sanitario, dei servizi e della tecnologia negli USA, in Australia, Cina e Messico. Sebbene questo campione di malware condivida somiglianze con altre botnet, rimane distinto da botnet ampiamente utilizzate come Mirai e Mozi.