Pesquisadores de cibersegurança alertaram para uma nova campanha que está explorando ativamente uma falha de segurança crítica recém-divulgada no Langflow para entregar o malware botnet Flodrix.
"Os atacantes usam a vulnerabilidade para executar scripts de downloader em servidores Langflow comprometidos, que por sua vez, baixam e instalam o malware Flodrix," disseram os pesquisadores da Trend Micro Aliakbar Zahravi, Ahmed Mohamed Ibrahim, Sunil Bharti e Shubham Singh, em um relatório técnico publicado hoje(17).
A atividade envolve a exploração do
CVE-2025-3248
(pontuação CVSS: 9.8), uma vulnerabilidade de autenticação ausente no Langflow, um "framework visual" baseado em Python para construção de aplicações de Inteligência Artificial (IA).
A exploração bem-sucedida da falha poderia permitir que atacantes não autenticados executem código arbitrário via requisições HTTP fabricadas.
Ela foi corrigida pelo Langflow em março de 2025 com a versão 1.3.0.
No mês passado, a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) sinalizou a exploração ativa do
CVE-2025-3248
em ambiente real, com o Instituto de Tecnologia SANS revelando que detectou tentativas de exploração contra seus servidores honeypot.
As últimas descobertas da Trend Micro mostram que agentes de ameaças estão visando instâncias Langflow expostas na internet não atualizadas, aproveitando um código de prova de conceito (PoC) disponível publicamente para conduzir reconhecimento e soltar um script de downloader responsável por recuperar e executar o malware botnet Flodrix de "80.66.75[.]121:25565."
Uma vez instalado, o Flodrix estabelece comunicações com um servidor remoto para receber comandos via TCP a fim de lançar ataques de negação de serviço distribuído (DDoS) contra endereços IP de interesse.
O botnet também suporta conexões através da rede de anonimato TOR.
"Como o Langflow não impõe validação de entrada ou sandboxing, esses payloads são compilados e executados dentro do contexto do servidor, levando a [execução remota de código]," afirmaram os pesquisadores.
Com base nesses passos, o atacante provavelmente está perfilando todos os servidores vulneráveis e usa os dados coletados para identificar alvos de alto valor para infecções futuras. A Trend Micro disse que identificou os atores de ameaças desconhecidos hospedando diferentes scripts de downloader no mesmo host usado para buscar o Flodrix, sugerindo que a campanha está em desenvolvimento ativo.
O Flodrix é avaliado como uma evolução de outro botnet chamado LeetHozer, que está vinculado ao grupo Moobot.
A variante aprimorada incorpora a capacidade de se remover discretamente, minimizar traços forenses e complicar esforços de análise ao ofuscar endereços de servidores de comando e controle (C2) e outros indicadores importantes.
"Outra mudança significativa é a introdução de novos tipos de ataque DDoS, que agora também são criptografados, adicionando uma camada adicional de ofuscação," disse a Trend Micro.
A nova amostra também destaca notavelmente a enumeração dos processos em execução abrindo o diretório /proc para acessar todos os processos em execução.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...