C0xMo sfrutta DD-WRT e trasforma router IoT in nodi DDoS multi-architettura

C0xMo emerge come una delle varianti più aggressive della famiglia Gafgyt, storicamente associata a botnet IoT capaci di trasformare router, DVR, sistemi embedded e dispositivi Linux esposti in nodi per campagne DDoS. L’analisi di FortiGuard Labs descrive il malware come una minaccia cross-platform che sfrutta CVE-2021-27137, vulnerabilità di stack buffer overflow nel servizio UPnP di router DD-WRT precedenti al changeset 45723, per ottenere accesso iniziale e avviare una catena di propagazione modulare. La caratteristica più rilevante non è soltanto l’uso di una falla nota, ma la separazione tra payload principale e scanner di movimento laterale scritto in Python, che consente agli operatori di aggiornare exploit, target e architetture supportate senza modificare l’intero impianto malevolo. Dopo l’infezione, C0xMo scarica componenti aggiuntivi, individua l’architettura del dispositivo, distribuisce binari ELF compatibili e attiva meccanismi di persistenza basati su directory nascoste, cron job e profili shell. Il botnet non si limita a sopravvivere sul sistema compromesso: scansiona i processi attivi, elimina malware concorrenti, rimuove meccanismi di persistenza rivali e mantiene il controllo esclusivo dell’host. Questa combinazione di exploit legacy, propagazione multi-architettura, persistenza robusta e capacità di “uccidere” altri botnet rende C0xMo un’evoluzione significativa nel panorama delle minacce IoT, dove dispositivi edge non aggiornati e credenziali deboli continuano a rappresentare una superficie d’attacco ad alto rendimento. (Fortinet)

Fortinet identifica una nuova variante Gafgyt più modulare e aggressiva

La scoperta di C0xMo da parte di FortiGuard Labs avviene durante attività di monitoraggio delle minacce IoT e parte da un attacco osservato contro un’azienda tecnologica giapponese, con un indirizzo IP sorgente riconducibile però a un host in Germania. Questo dettaglio conferma la natura distribuita della minaccia: i dispositivi compromessi diventano rapidamente punti di lancio per ulteriori infezioni, rendendo difficile distinguere origine reale, infrastruttura di comando e nodo già infetto. Fortinet classifica C0xMo come variante avanzata di Gafgyt, ma l’architettura osservata mostra un salto qualitativo rispetto a molte iterazioni precedenti del ceppo. Il malware separa infatti la fase di movimento laterale in uno scanner Python autonomo, mentre il payload principale resta focalizzato su persistenza, comunicazione con C2 e capacità offensive. Questa separazione aumenta la flessibilità operativa: gli operatori possono cambiare routine di scanning, aggiungere exploit, ampliare l’elenco delle architetture supportate o modificare credenziali brute-force senza ricompilare l’intero malware. Il campione analizzato supporta numerose architetture Linux, tra cui ARM, MIPS, PowerPC, SuperH, x86 e x86_64, rendendo il botnet adatto a un ecosistema eterogeneo di router, DVR, piattaforme di videosorveglianza e dispositivi Android esposti. In un mercato IoT frammentato, dove firmware obsoleti e configurazioni errate restano diffusi, questa capacità multi-architettura permette a C0xMo di massimizzare il tasso di infezione e di costruire una rete bot più resiliente rispetto a varianti meno adattabili.

CVE-2021-27137 su DD-WRT è il vettore primario di infezione

Il punto di ingresso principale di C0xMo è CVE-2021-27137, una vulnerabilità di stack buffer overflow nel servizio UPnP di firmware DD-WRT vulnerabili. Secondo l’analisi tecnica di Fortinet, la falla viene innescata tramite richieste SSDP M-SEARCH appositamente costruite inviate sulla porta UDP 1900, con valori ST:uuid sovradimensionati che mandano in errore il parser e consentono l’esecuzione di codice sul dispositivo. L’aspetto più critico è che l’exploit non richiede autenticazione: basta che il servizio vulnerabile sia raggiungibile dalla rete per permettere all’attaccante di ottenere un foothold iniziale. Una volta eseguito il codice, il dispositivo compromesso scarica il componente scanner da infrastrutture controllate dagli operatori e avvia immediatamente la fase di espansione.

La vulnerabilità è particolarmente adatta a campagne botnet perché colpisce router edge spesso esposti, scarsamente monitorati e raramente aggiornati dopo l’installazione. DD-WRT viene utilizzato da utenti avanzati, piccole imprese e ambienti domestici evoluti, ma proprio questa diffusione trasversale rende il rischio più ampio: molti dispositivi restano in produzione per anni, con servizi remoti attivi e senza un processo regolare di patching. Fortinet indica come piattaforme esposte le versioni precedenti al changeset 45723, mentre la mitigazione più diretta consiste nell’aggiornamento del firmware e nella disabilitazione di UPnP quando non necessario. La campagna dimostra ancora una volta che vulnerabilità datate possono diventare armi efficaci quando incontrano dispositivi edge dimenticati, credenziali deboli e servizi aperti verso Internet. (Fortinet)

Lo scanner Python espande il botnet oltre i router vulnerabili

Dopo l’infezione iniziale, C0xMo scarica uno scanner Python che rappresenta il vero motore di propagazione laterale. Il componente installa e utilizza librerie come requests, paramiko e beautifulsoup4 per gestire connessioni HTTP, sessioni SSH, autenticazione remota e parsing delle risposte web. Lo scanner lavora con thread dedicati, scansiona intervalli IP alla ricerca di porte comuni e verifica servizi esposti su 22/SSH, 23/Telnet, 80/HTTP, 443/HTTPS, 7547, 8080, 8443 e 8888. Questa strategia consente al malware di superare il perimetro dei soli router DD-WRT, raggiungendo DVR, sistemi di gestione video, dispositivi Android e apparati Linux-based con servizi amministrativi aperti. Una volta individuato un host raggiungibile, lo scanner tenta credenziali deboli o predefinite, sfrutta vulnerabilità HTTP aggiuntive e determina l’architettura CPU per scaricare il binario ELF corretto. Il valore tattico di questa architettura è evidente: l’exploit CVE-2021-27137 fornisce il primo accesso, ma lo scanner consente al botnet di crescere anche in reti dove altri dispositivi non sono vulnerabili alla falla UPnP ma risultano comunque esposti tramite Telnet, SSH o pannelli web non protetti. In questo modo C0xMo combina tecniche diverse — exploit remoto, brute-force, fingerprinting architetturale e deployment selettivo — riducendo i tentativi inutili e aumentando la probabilità di installare il payload corretto su ogni target.

Brute-force, exploit HTTP e ADB ampliano la superficie d’attacco

La propagazione di C0xMo non dipende da un solo vettore. Lo scanner include routine per brute-force su SSH e Telnet, sfruttando il problema cronico delle credenziali predefinite nei dispositivi IoT, ma integra anche richieste HTTP mirate contro vulnerabilità note come CVE-2015-2051 e CVE-2022-35914, oltre a tentativi contro servizi e interfacce esposte in ambienti embedded. Alcune analisi indicano anche l’interesse verso connessioni ADB esposte, elemento che amplia il raggio d’azione verso dispositivi Android configurati in modo insicuro. Questa miscela di tecniche rende il botnet particolarmente efficace nei contesti dove router, telecamere, DVR e appliance convivono nella stessa rete senza segmentazione adeguata. Il malware prova prima a identificare la superficie accessibile, poi seleziona il metodo più adatto per ottenere accesso e infine trasferisce il payload compatibile. L’approccio è pragmatico e industriale: non cerca eleganza tecnica, ma massimizzazione del numero di nodi reclutabili. Per i difensori, la presenza di più vettori implica che non basta correggere una singola vulnerabilità; occorre ridurre l’esposizione complessiva, chiudere servizi non necessari, sostituire credenziali predefinite, filtrare traffico verso porte amministrative e monitorare connessioni anomale in uscita. C0xMo conferma che il botnet IoT moderno non si affida più soltanto a una falla famosa, ma orchestra exploit e cattive configurazioni per costruire una catena di propagazione più robusta.

Persistenza su directory nascoste, cron job e profili shell

Una volta installato su un dispositivo compromesso, C0xMo attiva una strategia di persistenza multilivello pensata per sopravvivere a riavvii, pulizie superficiali e tentativi manuali di rimozione. Il malware copia il proprio binario in directory nascoste o poco controllate, tra cui /tmp/.sys, /var/tmp/.sys e /dev/shm/.sys, sfruttando aree temporanee che nei dispositivi embedded vengono spesso ignorate durante controlli ordinari. Crea poi cron job configurati per rilanciare il payload ogni 15 minuti, garantendo che il processo venga ripristinato anche se terminato accidentalmente o rimosso in modo incompleto. Inoltre modifica file di configurazione shell come .bashrc, .profile e .bash_profile, così da ottenere esecuzione automatica all’avvio delle sessioni utente. La combinazione di directory nascoste, pianificazione periodica e modifica dei profili rende l’eradicazione più complessa, soprattutto su dispositivi privi di strumenti EDR, logging avanzato o interfacce di amministrazione complete. Questa persistenza evidenzia la maturità operativa degli operatori: il dispositivo IoT non viene trattato come nodo usa e getta, ma come risorsa da mantenere nel tempo. Per chi amministra router e appliance Linux-based, la presenza di file inattesi in directory temporanee, cron job sconosciuti e modifiche ai profili shell deve diventare un indicatore prioritario di compromissione.

C0xMo elimina malware rivali e strumenti concorrenti

La funzione più aggressiva di C0xMo è la rimozione attiva dei malware concorrenti. Il botnet esegue scansioni dei processi in esecuzione, identifica client di altre botnet IoT, tool di red-team, servizi di rete interferenti e componenti che potrebbero contendere risorse o controllo del dispositivo. Una volta riconosciuto un processo rivale, il malware lo termina, elimina i relativi binari e cancella i meccanismi di persistenza associati, inclusi cron job, script init, servizi di sistema e riferimenti nei profili shell. Questa capacità non è nuova nel mondo delle botnet, ma in C0xMo appare integrata in modo sistematico e funzionale al mantenimento del controllo esclusivo dell’host compromesso. L’obiettivo è duplice: evitare conflitti tra malware che usano la stessa CPU, la stessa banda o le stesse porte, e impedire che altri operatori criminali sottraggano il nodo alla botnet. In pratica, il dispositivo infetto diventa territorio occupato. La rimozione dei rivali aumenta l’affidabilità del nodo per future campagne DDoS, riduce rumore operativo e impedisce a malware concorrenti di innescare crash o saturazioni che renderebbero meno stabile l’infrastruttura criminale. Per i difensori, questa dinamica complica l’analisi: l’assenza di altri malware non significa pulizia del sistema, ma potrebbe indicare che C0xMo ha già eliminato competitor e lasciato solo la propria presenza.

Comunicazione C2 su TCP 15527 e handshake custom

La comunicazione tra C0xMo e l’infrastruttura di comando avviene tramite un protocollo custom multi-stage sulla porta TCP 15527, con handshake basato su stringhe di controllo e segreti condivisi. Il server utilizzato per la distribuzione dello scanner viene associato all’indirizzo 217.160.125.125, mentre l’infrastruttura C2 principale indicata nell’analisi include 85.215.131.70. L’uso di un protocollo proprietario riduce la dipendenza da canali standard facilmente riconoscibili e consente agli operatori di inviare comandi specifici per heartbeat, avvio o arresto delle scansioni, aggiornamento dei componenti e lancio di attacchi DDoS. Il bot mantiene un profilo relativamente silenzioso finché non riceve istruzioni, caratteristica utile per ridurre la probabilità di rilevamento in ambienti poco monitorati. La porta 15527 diventa quindi un indicatore di rete importante, insieme a connessioni anomale verso indirizzi noti e traffico uscente non giustificato da dispositivi edge. In contesti aziendali, router e DVR non dovrebbero stabilire connessioni arbitrarie verso server esterni su porte non standard; eventuali flussi di questo tipo meritano analisi immediata. Il design C2 conferma che C0xMo non è un malware puramente opportunistico, ma una piattaforma operativa controllabile, aggiornabile e pronta a ricevere task offensivi.

Diciannove metodi DDoS rendono C0xMo una piattaforma offensiva pronta all’uso

Il payload di C0xMo supporta 19 metodi di attacco DDoS, tra cui flood UDP, TCP, SYN, ICMP, ping of death, amplificazione tramite NTP e Memcached, flood specifici per Discord e attacchi mirati a servizi Valve. Questa varietà permette agli operatori di adattare la campagna al target, scegliendo tecniche diverse in base al tipo di servizio da saturare, alla capacità di banda disponibile e alla necessità di bypassare filtri o mitigazioni. La presenza di metodi di amplificazione indica un interesse per attacchi ad alto volume, mentre le routine specifiche per piattaforme gaming e comunicazione suggeriscono possibili bersagli nel settore entertainment, community online e servizi real-time. La modularità del botnet consente di espandere o modificare queste capacità senza alterare completamente la base malware, rendendo C0xMo una piattaforma offensiva più flessibile rispetto a molte varianti IoT tradizionali. L’impatto potenziale dipende dal numero di dispositivi reclutati, dalla loro connettività e dalla durata della persistenza, ma la combinazione tra ampia propagazione e più metodi DDoS rende la minaccia significativa anche se ogni singolo nodo dispone di risorse limitate. Come spesso accade nelle botnet IoT, la forza non deriva dalla potenza del singolo dispositivo, ma dall’aggregazione di migliaia di apparati vulnerabili distribuiti globalmente.

Dispositivi edge e firmware obsoleti restano il bersaglio ideale

Il successo di C0xMo dipende da condizioni note da anni: firmware non aggiornati, servizi remoti esposti, UPnP abilitato, Telnet ancora raggiungibile, password deboli e assenza di monitoraggio sui dispositivi edge. Router DD-WRT, DVR, sistemi di gestione video e apparati Android embedded sono bersagli ideali perché spesso operano in modo continuo, hanno privilegi elevati sulla rete locale e ricevono meno attenzione rispetto a server e workstation. Molti utenti non verificano mai la versione del firmware dopo l’installazione iniziale, mentre piccole imprese e ambienti domestici avanzati tendono a esporre servizi amministrativi per comodità. C0xMo sfrutta esattamente questa zona grigia tra consumer e enterprise, dove l’apparato è abbastanza potente e connesso da essere utile a una botnet, ma non abbastanza gestito da essere protetto in modo sistematico. La difesa richiede misure concrete: aggiornamento dei firmware DD-WRT a versioni successive al changeset 45723, disabilitazione di UPnP se non indispensabile, chiusura di Telnet, limitazione di SSH a IP fidati, password uniche e robuste, segmentazione dei dispositivi IoT, blocco delle porte amministrative esposte e monitoraggio del traffico verso TCP 15527 o verso indirizzi C2 noti. In ambienti già sospetti, la bonifica deve includere controllo di cron, directory temporanee, profili shell e processi anomali, perché la semplice eliminazione di un binario non rimuove necessariamente la persistenza.

C0xMo conferma la nuova maturità delle botnet IoT

La minaccia C0xMo dimostra che le botnet IoT stanno evolvendo verso modelli più modulari, resilienti e selettivi. Rispetto alle ondate storiche di malware basati quasi esclusivamente su credenziali di default e payload monolitici, questa variante combina exploit specifici, scanner indipendente, fingerprinting architetturale, persistenza multilivello, rimozione dei rivali e capacità DDoS diversificate. Il risultato è una piattaforma criminale capace di sfruttare dispositivi edge come infrastruttura distribuita, aggiornabile e difficile da estirpare. La lezione operativa è netta: non esistono dispositivi “secondari” quando sono connessi alla rete e raggiungibili da Internet. Un router DD-WRT dimenticato, un DVR legacy o un’interfaccia SSH lasciata aperta possono diventare il punto di partenza per attività di propagazione, attacchi DDoS e ulteriore compromissione interna. La comparsa di C0xMo conferma inoltre che le vulnerabilità vecchie continuano a generare impatto reale quando il ciclo di patching IoT resta debole. Per aziende, MSP e amministratori domestici avanzati, la difesa non passa da un singolo prodotto di sicurezza, ma da inventario, aggiornamento, riduzione dell’esposizione, controllo delle credenziali e capacità di rilevare comportamenti anomali su dispositivi che troppo spesso restano fuori dal perimetro di monitoraggio.