Pesquisadores de cibersegurança divulgaram detalhes de um framework de botnet para Internet das Coisas (IoT) até então não reportado, batizado de TuxBot v3 Evolution.
Segundo a análise, há sinais de que ele foi desenvolvido com a ajuda de um grande modelo de linguagem (LLM), embora o resultado final esteja longe de ser perfeito.
“Embora a IA tenha atendido ao pedido para gerar o código da botnet, ela incluiu um aviso de segurança que o desenvolvedor deixou passar antes da entrega”, afirmou a Unit 42, da Palo Alto Networks.
“Apesar de o LLM ter ajudado claramente na construção da botnet, várias funções nos exemplos analisados não funcionavam corretamente.”
A empresa disse que uma revisão manual do código teria corrigido esses erros e que é possível que existam versões mais refinadas do malware em circulação.
O framework da botnet é composto por vários elementos: um agente bot em C que pode ser recompilado para múltiplas arquiteturas, como ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC e RISC-V; um servidor de comando e controle (C2) em Go com um painel de DDoS para contratação; uma máquina virtual de exploit personalizada; uma infraestrutura de testes baseada em Docker; e um sistema automatizado de compilação.
O agente bot foi projetado para força bruta no acesso Telnet em dispositivos-alvo usando 1.496 pares de credenciais, além de incorporar código de exploit voltado a mais de 30 famílias de dispositivos IoT com base em vulnerabilidades conhecidas.
Ele se comunica com o servidor C2 por meio de um canal TCP criptografado, mas também recorre, como mecanismos de contingência, a um algoritmo de geração de domínios (DGA) com SHA512, a um protocolo de gossip peer-to-peer (P2P) com comandos assinados com Ed25519, a consultas Internet Relay Chat (IRC), a consultas DNS TXT e a polling HTTP.
A linhagem do framework modular foi rastreada até três botnets diferentes, incluindo Mirai, AISURU e Wuhan, além de ter portado parcialmente algumas funções do toolkit de DDoS em Python MHDDoS, que é open source.
Pelo menos uma amostra do malware foi enviada à plataforma VirusTotal em 20/01/2026, o que indica que ele está em atividade há mais de seis meses.
As evidências sugerem que o trabalho na botnet começou um ano antes, quando o autor clonou o repositório do MHDDoS no GitHub.
“De acordo com a descrição do framework, o desenvolvedor do TuxBot construiu o que chamou de uma plataforma C2 de nível profissional, com painel administrativo para vários usuários, implantação automatizada e capacidades modulares de ataque”, disseram os pesquisadores Chris Navarrete, Asher Davila e Doel Santos.
O componente C2 em Go usa três portas TCP diferentes para conexões de entrada:
- Porta TCP 1999, ou 31337, usada para tratar a distribuição de comandos criptografados aos bots conectados
- Porta TCP 2222, que expõe um shell interativo para operadores via SSH
- Porta TCP 9999, que usa uma interface JSON para acesso programático
Depois de iniciado, a botnet segue uma sequência de inicialização predefinida para executar uma série de ações:
- Carregar o endereço do C2 a partir de uma arquitetura em vários níveis, com um canal principal e cinco mecanismos alternativos
- Configurar proteções contra depuração e máquinas virtuais, com checagens para identificar ferramentas de análise em execução
- Ocultar o nome do processo
- Instalar persistência
- Iniciar diversos submódulos para realizar ataques de DDoS, encerrar processos concorrentes, estabelecer canais C2 via IRC, HTTP, DNS e P2P, executar scanners para Telnet, SSH, HTTP e Android Debug Bridge (ADB), criar um proxy SOCKS5 e executar um marcador de posição para mineração de criptomoedas
O scanner HTTP dedicado, em particular, pode gerenciar até 128 conexões simultâneas a qualquer momento, com o objetivo de descobrir interfaces web vulneráveis.
A persistência, por sua vez, é obtida por meio de um serviço systemd, entradas no cron e um processo watchdog de manutenção ativa, para garantir que o TuxBot permaneça operacional na máquina comprometida.
“Vários arquivos contêm, literalmente, o raciocínio bruto da cadeia de pensamento do LLM, deixado em comentários”, disse a Unit 42.
“Esses comentários são o raciocínio interno do LLM enquanto ele executava tarefas de portabilidade.
Esse raciocínio inclui interrupções, decisões e referências ao ‘usuário’, isto é, o desenvolvedor que acionou o LLM.”
Embora o TuxBot v3 Evolution ainda esteja em desenvolvimento, as funções centrais já operacionais, somadas à dependência de IA, indicam uma integração acelerada de recursos.
Ao mesmo tempo, isso sugere que uma única pessoa conseguiu montar um conjunto de ferramentas com múltiplos canais C2, uma máquina virtual de exploit personalizada e um painel de DDoS para contratação baseado em Go.
“A infraestrutura compartilhada com ferramentas do Kaitori v3.9 e do AISURU coloca o operador do TuxBot dentro do ecossistema Keksec”, concluiu a Unit 42.
“Esse grupo é conhecido por operar várias variantes de botnet IoT em paralelo.
TuxBot parece ser mais uma variante desse portfólio.
Ele busca ir além do tradicional fork do Mirai com seu C2 criptografado, seu DGA e um sistema modular de exploit, embora esse sistema ainda não funcione na versão que recuperamos.”
A divulgação ocorre após o surgimento de outras duas botnets, RustDuck e AryStinger, que miram roteadores, câmeras IP, boxes Android e servidores mal protegidos para recrutá-los em uma rede criada para derrubar serviços online e fazer reconhecimento.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...