Mirai

Uma nova variante do malware Mirai está ameaçando roteadores D-Link da série DIR-823-X, permitindo que hackers assumam o controle dos dispositivos sem aviso. A vulnerabilidade, identificada pela empresa de segurança Akamai, foi detectada pela primeira vez em março de 2026 e se baseia em uma injeção de comandos que foi descoberta há 13 meses. Os pesquisadores Wang Jinshuai e Zhao Jiangting publicaram uma prova de conceito da falha, que posteriormente foi removida. As versões de firmware 240126 e 24082 estão especialmente vulneráveis, permitindo a execução de comandos remotos não autorizados. O ataque ocorre quando pedidos manipulados são enviados a um ponto de acesso vulnerável, resultando na instalação do malware tuxnokill, que transforma o roteador em um botnet para ataques DDoS. A D-Link não oferece mais suporte para esses modelos desde novembro de 2024, tornando a situação ainda mais crítica. Especialistas recomendam a substituição dos roteadores antigos ou, se isso não for possível, a desativação do acesso remoto e a mudança de senhas padrão.

Uma nova campanha de malware baseada no Mirai está explorando a vulnerabilidade de injeção de comando CVE-2025-29635, que afeta roteadores D-Link DIR-823X. Essa falha permite que atacantes executem comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para um endpoint vulnerável, resultando em execução remota de comandos (RCE). A Akamai SIRT, que detectou a campanha em março de 2026, informa que, apesar de a vulnerabilidade ter sido divulgada há 13 meses, esta é a primeira vez que a exploração ativa foi observada. Os atacantes estão utilizando requisições POST para alterar diretórios, baixar um script shell e executá-lo, instalando um malware Mirai chamado ’tuxnokill’, que suporta múltiplas arquiteturas e possui capacidades de ataque DDoS. Além disso, a campanha também explora outras vulnerabilidades em roteadores TP-Link e ZTE. Os dispositivos afetados atingiram o fim de vida útil em novembro de 2024, o que significa que é improvável que a D-Link forneça um patch para corrigir a falha. Usuários de roteadores obsoletos são aconselhados a atualizar para modelos mais novos e seguros.

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.