Individuate due botnet Mirai, Lzrd e Resgod, che sfruttano la falla Wazuh

Gli esperti di sicurezza informatica di Akamai hanno scoperto una nuova minaccia: due botnet separate stanno sfruttando attivamente una falla critica nel software di sicurezza Wazuh , nella soluzione open source XDR e SIEM, per diffondere il malware Mirai.

Questa vulnerabilità, identificata come CVE-2025-24016 , interessa le versioni di Wazuh dalla 4.4.0 alla 4.9.0 ed è stata successivamente risolta nella versione 4.9.1. Consente agli aggressori di eseguire il proprio codice su un server di destinazione inviando una richiesta appositamente predisposta tramite l'API di Wazuh, consentendo così agli aggressori di assumere il controllo remoto dei server interessati.

Vale la pena notare che questa è la prima volta che vengono segnalati attacchi attivi che sfruttano questa vulnerabilità, evidenziando una preoccupante tendenza secondo cui i criminali informatici trasformano rapidamente i difetti appena scoperti in strumenti per le loro campagne.

Il rapporto tecnico , condiviso con Hackread.com, rivela che il Security Intelligence and Response Team (SIRT) di Akamai ha notato per la prima volta attività sospette nella propria rete globale di honeypot nel marzo 2025, poche settimane dopo che la falla era stata resa pubblica nel febbraio 2025.

Il team ha identificato due botnet distinte che sfruttano questo exploit. La prima botnet ha iniziato i suoi attacchi all'inizio di marzo, sfruttando la vulnerabilità per scaricare ed eseguire uno script dannoso. Questo script ha poi eliminato il malware principale Mirai , progettato per infettare un'ampia gamma di dispositivi IoT (Internet of Things).

Queste varianti di Mirai, a volte chiamate morte , sono identificabili da un messaggio univoco che visualizzano, come ad esempio lzrd here . Questi attacchi iniziali utilizzavano gli stessi dettagli di autorizzazione di un exploit proof of concept (PoC) disponibile al pubblico, il che significa che gli aggressori hanno rapidamente adattato le informazioni note.

La seconda botnet è emersa all'inizio di maggio 2025, diffondendo anch'essa una variante di Mirai chiamata resgod. Questa botnet ha attirato l'attenzione perché i suoi indirizzi online ( domini ) associati presentavano nomi di origine italiana, come gestisciweb.com , che significa "gestisci web". Questo potrebbe suggerire che gli aggressori stiano specificamente cercando di colpire dispositivi di utenti di lingua italiana. Il malware resgod stesso trasmette il messaggio chiaro: "Resentual ti ha preso!"

Sebbene la vulnerabilità Wazuh sia l'obiettivo principale, le botnet non si sono limitate a questo. Akamai ha osservato questi gruppi malintenzionati tentare di sfruttare diverse altre falle di sicurezza note. Tra queste, vulnerabilità più datate in sistemi come Hadoop YARN, router TP-Link Archer AX21 ( CVE-2023-1389 ), router Huawei HG532 ( CVE-2017-17215 ) e router ZTE ZXV10 H108L ( CVE-2017-18368 ). Ciò dimostra che gli aggressori adottano un approccio ad ampio raggio, cercando di infettare i sistemi sfruttando qualsiasi vulnerabilità disponibile.

Il rapporto di Akamai avverte che è ancora relativamente facile per i criminali riutilizzare vecchi codici malware per creare nuove botnet. La velocità con cui questa falla di Wazuh è stata sfruttata dopo la sua divulgazione sottolinea quanto sia fondamentale per le organizzazioni applicare le patch di sicurezza non appena disponibili.

A differenza di alcune vulnerabilità che colpiscono solo i dispositivi obsoleti, CVE-2025-24016 prende di mira specificamente i server Wazuh attivi se non aggiornati. Akamai consiglia vivamente a tutti gli utenti di eseguire l'aggiornamento a Wazuh versione 4.9.1 o successiva per proteggere i propri sistemi.