Duas botnets Mirai, Lzrd e Resgod, foram flagradas explorando a falha do Wazuh

Especialistas em segurança cibernética da Akamai descobriram uma nova ameaça: duas botnets separadas estão explorando ativamente uma falha crítica no software de segurança Wazuh , solução XDR e SIEM de código aberto, para espalhar o malware Mirai.

Esta vulnerabilidade, identificada como CVE-2025-24016 , afeta as versões 4.4.0 a 4.9.0 do Wazuh e foi corrigida na versão 4.9.1. Ela permite que invasores executem seu próprio código em um servidor alvo, enviando uma solicitação especialmente criada por meio da API do Wazuh, permitindo que invasores assumam o controle dos servidores afetados remotamente.

Vale ressaltar que esta é a primeira vez que ataques ativos usando essa vulnerabilidade foram relatados, destacando uma tendência preocupante em que os criminosos cibernéticos transformam rapidamente falhas recém-descobertas em ferramentas para suas campanhas.

O relatório técnico , compartilhado com o Hackread.com, revela que a Equipe de Inteligência e Resposta de Segurança (SIRT) da Akamai notou pela primeira vez atividade suspeita em sua rede global de honeypots em março de 2025, poucas semanas após a falha ter sido tornada pública em fevereiro de 2025.

A equipe identificou duas botnets distintas que se aproveitam dessa exploração. A primeira botnet iniciou seus ataques no início de março, usando a vulnerabilidade para baixar e executar um script malicioso. Esse script então instala o malware principal, o Mirai , projetado para infectar uma ampla gama de dispositivos de Internet das Coisas (IoT).

Essas variantes do Mirai, às vezes chamadas de morte , são identificáveis ​​por uma mensagem única que exibem, como lzrd here . Esses ataques iniciais usaram os mesmos detalhes de autorização de um exploit de prova de conceito (PoC) disponível publicamente, o que significa que os invasores adaptaram rapidamente as informações conhecidas.

A segunda botnet surgiu no início de maio de 2025, também disseminando uma variante do Mirai chamada resgod. Essa botnet chamou a atenção porque seus endereços online associados ( domínios ) apresentavam nomes com sotaque italiano, como gestisciweb.com , que significa gerenciar a web. Isso pode sugerir que os invasores estão tentando atingir especificamente dispositivos pertencentes a usuários de língua italiana. O próprio malware resgod traz a mensagem clara: "Resentual te pegou!"

Embora a vulnerabilidade Wazuh seja o foco principal, as botnets não se limitaram a ela. A Akamai observou esses grupos maliciosos tentando explorar diversas outras falhas de segurança conhecidas. Entre elas, vulnerabilidades mais antigas em sistemas como Hadoop YARN, roteadores TP-Link Archer AX21 ( CVE-2023-1389 ), roteadores Huawei HG532 ( CVE-2017-17215 ) e roteadores ZTE ZXV10 H108L ( CVE-2017-18368 ). Isso demonstra que os invasores utilizam uma abordagem ampla, tentando infectar os sistemas por meio de qualquer vulnerabilidade disponível.

O relatório da Akamai alerta que continua sendo relativamente fácil para criminosos reutilizarem códigos de malware antigos para criar novas botnets. A velocidade com que essa falha do Wazuh foi explorada após sua divulgação ressalta a importância de as organizações aplicarem patches de segurança assim que estiverem disponíveis.

Ao contrário de algumas vulnerabilidades que afetam apenas dispositivos desatualizados, a CVE-2025-24016 atinge especificamente servidores Wazuh ativos, caso não sejam atualizados. A Akamai recomenda fortemente que todos os usuários atualizem para a versão 4.9.1 ou posterior do Wazuh para proteger seus sistemas.