Un défaut de sécurité critique maintenant par réglement dans le serveur Wazur est exploité par les acteurs de la menace pour supprimer deux variantes de botnet Mirai différentes et les utiliser pour mener des attaques de déni de service distribué (DDOS).
Akamai, qui a découvert les efforts d’exploitation pour la première fois fin mars 2025, a déclaré que la campagne malveillante cible le CVE-2025-24016 (score CVSS: 9.9), une vulnérabilité de désérialisation dangereuse qui permet l’exécution du code à distance sur les serveurs Wazuh.
Le défaut de sécurité, qui affecte toutes les versions du logiciel du serveur, y compris et supérieur, a été abordé en février 2025 avec la publication de 4.9.1. Un exploit de preuve de concept (POC) a été divulgué publiquement vers la même époque où les correctifs ont été libérés.
Le problème est enraciné dans l’API WAZUH, où les paramètres dans le DistributedAPI sont sérialisés en JSON et désérialisés à l’aide de “AS_WAZUH_OBJECT” dans le fichier framework / wazuh / core / cluster / commun.py. Un acteur de menace pourrait armé la vulnérabilité en injectant les charges utiles JSON malveillantes pour exécuter à distance le code python arbitraire.
La société d’infrastructure Web a déclaré avoir découvert des tentatives de deux botnets différents pour exploiter CVE-2025-24016 quelques semaines après la divulgation publique du défaut et la libération du POC. Les attaques ont été enregistrées début mars et mai 2025.
“Ceci est le dernier exemple des délais de temps pour exploiter toujours plus de dispositif que les opérateurs de botnet ont adopté pour les CVE nouvellement publiés”, a déclaré les chercheurs en sécurité Kyle Lefton et Daniel Messing dans un rapport partagé avec The Hacker News.
Dans le premier cas, un exploit réussi ouvre la voie à l’exécution d’un script de shell qui sert de téléchargeur pour la charge utile Mirai Botnet à partir d’un serveur externe (“176.65.134[.]62 “) pour différentes architectures. Il est évalué que les échantillons de logiciels malveillants sont des variantes de LZRD Mirai, qui existe depuis 2023.
Il convient de noter que LZRD a également été déployé récemment dans des attaques exploitant les appareils de Geovision de fin de vie (EOL) Internet des objets (IoT). Cependant, Akamai a déclaré au Hacker News qu’il n’y avait aucune preuve que ces deux grappes d’activités sont le travail du même acteur de menace étant donné que le LZRD est utilisé par une myriade d’opérateurs de botnet.
Analyse des infrastructures supplémentaires de “176.65.134[.]62 “et ses domaines associés ont conduit à la découverte d’autres versions Mirai Botnet, y compris des variantes LZRD nommées” Neon “et” Vision “et une version mise à jour de V3G4.
Certains des autres défauts de sécurité exploités par le botnet comprennent les défauts dans le fil Hadoop, le TP-Link Archer AX21 (CVE-2023-1389) et un bug d’exécution de code distant dans les routeurs ZTE ZXV10 H108L.
Le deuxième botnet à abuser du CVE-2025-24016 utilise une stratégie similaire d’utilisation d’un script de shell malveillant pour livrer une autre variante Mirai Botnet appelée Resbot (aka Resentual).
“L’une des choses intéressantes que nous avons remarquées à propos de ce botnet était le langage associé. Il utilisait une variété de domaines pour répandre les logiciels malveillants qui avaient tous une nomenclature italienne”, ont déclaré les chercheurs. “Les conventions de dénomination linguistiques pourraient indiquer une campagne pour cibler les appareils détenus et gérés par des utilisateurs italiens en particulier.”
Besides attempting to spread via FTP over port 21 and conducting telnet scanning, the botnet has been found to leverage a wide range of exploits targeting Huawei HG532 router (CVE-2017-17215), Realtek SDK (CVE-2014-8361), and TrueOnline ZyXEL P660HN-T v1 router (CVE-2017-18368).
“La propagation de Mirai continue relativement sans relâche, car il reste plutôt simple de réutiliser et de réutiliser l’ancien code source pour configurer ou créer de nouveaux botnets”, ont déclaré les chercheurs. “Et les opérateurs de botnet peuvent souvent trouver du succès en tirant simplement parti des exploits nouvellement publiés.”
Le CVE-2025-24016 est loin d’être la seule vulnérabilité à être maltraitée par les variantes de botnet Mirai. Dans les attaques récentes, les acteurs de la menace ont également profité du CVE-2024-3721, une vulnérabilité d’injection de commandement moyenne affectant les appareils d’enregistrement vidéo numérique TBK DVR-4104 et DVR-4216, pour les enrôler dans le botnet.
La vulnérabilité est utilisée pour déclencher l’exécution d’un script shell responsable du téléchargement du botnet Mirai à partir d’un serveur distant (“42.112.26[.]36 “) et l’exécution, mais pas avant de vérifier s’il s’exécute actuellement à l’intérieur d’une machine virtuelle ou de Qemu.
La société russe de cybersécurité Kaspersky a déclaré que les infections sont concentrées autour de la Chine, de l’Inde, de l’Égypte, de l’Ukraine, de la Russie, de la Turquie et du Brésil, ajoutant qu’il a identifié plus de 50 000 appareils DVR exposés en ligne.
“Exploiter les défauts de sécurité connus dans les appareils IoT et les serveurs qui n’ont pas été corrigés, ainsi que l’utilisation généralisée de logiciels malveillants ciblant les systèmes basés sur Linux, conduit à un nombre important de robots recherchant constamment sur Internet des appareils à infecter”, a déclaré le chercheur en sécurité Anderson Leite.
La divulgation intervient alors que la Chine, l’Inde, Taïwan, Singapour, le Japon, la Malaisie, Hong Kong, l’Indonésie, la Corée du Sud et le Bangladesh sont devenues les pays les plus ciblés de la région de l’APAC au premier trimestre de 2025, selon les statistiques partagées par Stormwall.
“Les inondations d’API et les bombardements de tapis augmentent plus rapidement que les attaques volumétriques traditionnelles TCP / UDP, poussant les entreprises à adopter des défenses plus intelligentes et plus flexibles”, a indiqué la société. “Dans le même temps, l’augmentation des tensions géopolitiques entraîne une augmentation des attaques contre les systèmes gouvernementaux et Taiwan – mettant en évidence l’activité accrue des hacktivistes et des acteurs de la menace parrainés par l’État.”
Il fait également suite à un avis du Federal Bureau of Investigation (FBI) des États-Unis que le botnet Badbox 2.0 a infecté des millions d’appareils connectés à Internet, dont la plupart sont fabriqués en Chine, afin de les transformer en indicateurs résidentiels pour faciliter l’activité criminelle.
“Les cyber-criminels ont un accès non autorisé aux réseaux domestiques en configurant le produit avec un logiciel malveillant avant l’achat de l’utilisateur ou en infectant l’appareil car il télécharge les applications requises qui contiennent des délais, généralement pendant le processus de configuration”, a déclaré le FBI.
“Le botnet Badbox 2.0 se compose de millions d’appareils infectés et maintient de nombreuses déambulations aux services de procuration que les acteurs cyber-criminels exploitent en vendant ou en fournissant un accès gratuit à des réseaux domestiques compromis à utiliser pour diverses activités criminelles.”
