Una recente vulnerabilità critica nei server Wazuh, identificata come CVE-2025-24016, è stata oggetto di sfruttamento da parte di gruppi cybercriminali che hanno lanciato attacchi basati su botnet Mirai. Questa falla, ora corretta nelle versioni successive alla 4.9.1, permette l’esecuzione di codice da remoto tramite una pericolosa deserializzazione non sicura all’interno delle API del prodotto. Gli aggressori possono così inviare payload malevoli in formato JSON che vengono interpretati come codice Python, compromettendo completamente i sistemi vulnerabili.

Pochi giorni dopo la pubblicazione della vulnerabilità e del relativo proof-of-concept, due botnet distinte hanno iniziato a sfruttare il bug per diffondere varianti di Mirai, note nel settore della sicurezza informatica per la loro efficacia negli attacchi DDoS e nella compromissione di dispositivi IoT. La prima botnet scarica uno script da server remoti che distribuisce il malware LZRD Mirai, già attivo dal 2023 e recentemente impiegato anche contro dispositivi GeoVision non più supportati. L’analisi delle infrastrutture collegate ha rivelato la presenza di versioni alternative come “neon”, “vision” e “V3G4”, utilizzate per ampliare la portata degli attacchi.

La botnet Resbot e le sue strategie

La seconda botnet, denominata Resbot o Resentual, adotta una strategia simile ma si distingue per l’uso di domini con terminologia italiana, suggerendo una possibile campagna mirata contro dispositivi utilizzati da utenti di lingua italiana. Oltre alla propagazione via FTP e scansioni telnet, Resbot sfrutta falle note in router Huawei, Realtek SDK e ZyXEL, dimostrando la varietà di exploit impiegati per infettare dispositivi vulnerabili.

La facilità con cui il codice sorgente di Mirai viene riutilizzato e adattato consente ai cybercriminali di lanciare nuove campagne anche sfruttando vulnerabilità appena pubblicate, come la command injection CVE-2024-3721 nei dispositivi DVR TBK. Secondo i dati di Kaspersky, la diffusione delle infezioni si concentra in paesi come Cina, India, Egitto, Russia e Brasile, dove sono stati rilevati oltre 50.000 DVR esposti online.

Aumento delle attività botnet e raccomandazioni

Nel panorama globale, si osserva un aumento delle attività botnet e degli attacchi DDoS, in particolare nella regione Asia-Pacifico. Le aziende sono invitate a rafforzare le difese contro questa tipologia di minacce, adottando strategie più flessibili e intelligenti per proteggere infrastrutture e dispositivi IoT, sempre più presi di mira da exploit automatizzati e botnet resilienti come Mirai.