Due distinti gruppi di attori malevoli stanno sfruttando una grave vulnerabilità recentemente corretta nei server Wazuh per diffondere varianti del botnet Mirai. Le campagne in corso, rilevate da Akamai a partire da marzo 2025, fanno leva sulla CVE-2025-24016, una vulnerabilità di deserializzazione non sicura nel modulo API distribuito di Wazuh, che consente l’esecuzione di codice remoto. La criticità (CVSS 9.9) interessa tutte le versioni dalla 4.4.0 in poi e ha ricevuto una patch con la versione 4.9.1 rilasciata lo scorso febbraio.
L’exploit pubblicato pubblicamente ha rapidamente innescato una corsa all’adozione da parte degli operatori botnet. In un caso, gli attaccanti eseguono uno script shell che scarica il malware da server remoti come “176.65.134[.]62”, rivelando che si tratta di varianti del botnet LZRD, una branca di Mirai attiva dal 2023. In un secondo scenario, un altro gruppo impiega un payload denominato Resbot (o Resentual), diffuso tramite domini con nomenclatura italiana. Questo dettaglio potrebbe indicare una campagna mirata verso dispositivi in ambienti linguistici italiani.
Entrambi gli attacchi rientrano in un contesto più ampio in cui le botnet riescono a capitalizzare vulnerabilità appena divulgate. Gli stessi gruppi sfruttano anche falle in router TP-Link, ZTE, Huawei, e componenti Realtek e ZyXEL. Inoltre, si registra un uso combinato di exploit già esistenti, come la CVE-2024-3721 nei DVR TBK, per distribuire Mirai in ambienti Linux-based.
Le infezioni sono concentrate in paesi dell’Asia-Pacifico come Cina, India, Giappone e Taiwan, in un momento in cui aumentano sia gli attacchi DDoS sofisticati (carpet bombing, API flood) sia le tensioni geopolitiche, che favoriscono le operazioni di cyber sabotaggio. Nel frattempo, il botnet BADBOX 2.0 continua a infettare milioni di dispositivi connessi in rete, sfruttando firmware preconfigurati o software infetto installato al primo avvio.
La corsa alle patch diventa sempre più critica. Secondo gli analisti, i tempi tra divulgazione di una CVE e il suo sfruttamento attivo si stanno riducendo drasticamente, con le botnet capaci di automatizzare attacchi su vasta scala in pochi giorni. Gli ambienti vulnerabili come server e dispositivi IoT non aggiornati rappresentano il punto d’ingresso ideale.
