Se detectan dos botnets de Mirai, Lzrd y Resgod, que explotan la vulnerabilidad de Wazuh

Los expertos en ciberseguridad de Akamai han descubierto una nueva amenaza: dos botnets independientes están explotando activamente una falla crítica en el software de seguridad Wazuh , la solución XDR y SIEM de código abierto, para propagar el malware Mirai.

Esta vulnerabilidad, identificada como CVE-2025-24016 , afecta a las versiones 4.4.0 a 4.9.0 de Wazuh y se ha corregido en la versión 4.9.1. Permite a los atacantes ejecutar su propio código en un servidor objetivo mediante el envío de una solicitud especialmente diseñada a través de la API de Wazuh, lo que les permite tomar el control remoto de los servidores afectados.

Vale la pena señalar que esta es la primera vez que se informan ataques activos que utilizan esta vulnerabilidad, lo que destaca una tendencia preocupante en la que los ciberdelincuentes convierten rápidamente las fallas recién descubiertas en herramientas para sus campañas.

El informe técnico , compartido con Hackread.com, revela que el Equipo de Inteligencia y Respuesta de Seguridad (SIRT) de Akamai notó por primera vez actividad sospechosa en su red global de honeypots en marzo de 2025, pocas semanas después de que la falla se hiciera pública en febrero de 2025.

El equipo identificó dos botnets distintas que aprovechaban este exploit. La primera botnet inició sus ataques a principios de marzo, aprovechando la vulnerabilidad para descargar y ejecutar un script malicioso. Este script descarga el malware principal Mirai , diseñado para infectar una amplia gama de dispositivos del Internet de las Cosas (IoT).

Estas variantes de Mirai, a veces llamadas morte , se identifican por un mensaje único que muestran, como lzrd here . Estos ataques iniciales utilizaron los mismos datos de autorización que un exploit de prueba de concepto (PoC) disponible públicamente, lo que significa que los atacantes adaptaron rápidamente la información conocida.

La segunda botnet surgió a principios de mayo de 2025, propagando también una variante de Mirai llamada resgod. Esta botnet llamó la atención porque sus direcciones de internet asociadas ( dominios ) presentaban nombres que sonaban a italiano, como gestisciweb.com , que significa "administrar web". Esto podría indicar que los atacantes intentan atacar específicamente dispositivos de usuarios de habla italiana. El malware resgod transmite el mensaje inequívoco: "¡Resentual te ha pillado!".

Si bien la vulnerabilidad Wazuh es el foco principal, las botnets no se limitaban a ella. Akamai observó que estos grupos maliciosos intentaban explotar otras vulnerabilidades de seguridad conocidas. Estas incluían vulnerabilidades antiguas en sistemas como Hadoop YARN, enrutadores TP-Link Archer AX21 ( CVE-2023-1389 ), enrutadores Huawei HG532 ( CVE-2017-17215 ) y enrutadores ZTE ZXV10 H108L ( CVE-2017-18368 ). Esto demuestra que los atacantes utilizan un enfoque amplio, intentando infectar sistemas a través de cualquier vulnerabilidad disponible.

El informe de Akamai advierte que sigue siendo relativamente fácil para los delincuentes reutilizar código de malware antiguo para crear nuevas botnets. La velocidad con la que se explotó esta vulnerabilidad de Wazuh tras su divulgación subraya la importancia de que las organizaciones apliquen parches de seguridad tan pronto como estén disponibles.

A diferencia de algunas vulnerabilidades que solo afectan a dispositivos obsoletos, CVE-2025-24016 ataca específicamente a los servidores Wazuh activos si no están actualizados. Akamai recomienda encarecidamente a todos los usuarios que actualicen a la versión 4.9.1 o posterior de Wazuh para proteger sus sistemas.