Atores maliciosos estão explorando falhas de segurança em DVRs da TBK e em roteadores Wi-Fi da TP-Link fora de suporte para instalar variantes da botnet Mirai em dispositivos comprometidos, segundo análises da Fortinet FortiGuard Labs e da Unit 42, da Palo Alto Networks.
No caso dos DVRs da TBK, os ataques exploram a vulnerabilidade
CVE-2024-3721
, uma falha de injeção de comandos de severidade média, com nota CVSS 6,3, que afeta os modelos DVR-4104 e DVR-4216.
A falha está sendo usada para distribuir uma variante da Mirai chamada Nexcorium.
“Dispositivos IoT estão se tornando alvos prioritários para ataques em larga escala devido ao uso disseminado, à falta de atualizações e, muitas vezes, a configurações de segurança fracas”, afirmou o pesquisador de segurança Vincent Li.
“Atores maliciosos continuam explorando vulnerabilidades conhecidas para obter acesso inicial e implantar malware que pode persistir, se espalhar e causar ataques de negação de serviço distribuído (DDoS).”
Esta não é a primeira vez que a falha é explorada em ambiente real.
Ao longo do último ano, o problema já foi usado para distribuir uma variante da Mirai e também uma botnet distinta chamada RondoDox.
Em setembro de 2025, a CloudSEK também revelou detalhes de uma botnet do tipo loader-as-a-service em larga escala, que vinha distribuindo payloads do RondoDox, Mirai e Morte por meio de credenciais fracas e falhas antigas em roteadores, dispositivos IoT e aplicações corporativas.
De acordo com a Fortinet, a campanha começa com a exploração da
CVE-2024-3721
para baixar e executar um script que, em seguida, carrega o payload da botnet de acordo com a arquitetura do sistema Linux.
Depois da execução, o malware exibe a mensagem “nexuscorp has taken control”.
“A Nexcorium tem uma arquitetura semelhante à de variantes da Mirai, incluindo inicialização de tabela de configuração codificada em XOR, módulo watchdog e módulo de ataque DDoS”, informou a empresa.
O malware também inclui um exploit para a vulnerabilidade
CVE-2017-17215
, visando dispositivos Huawei HG532 na rede, e traz uma lista de nomes de usuário e senhas embutidos no código para ataques de força bruta contra os hosts da vítima por meio de conexões Telnet.
Se o login por Telnet for bem-sucedido, o malware tenta obter uma shell, estabelecer persistência com crontab e um serviço systemd e se conectar a um servidor externo para aguardar comandos de ataques DDoS via UDP, TCP e SMTP.
Depois de consolidar a persistência no dispositivo, ele apaga o binário originalmente baixado para dificultar a análise.
“O malware Nexcorium apresenta características típicas de botnets modernas voltadas para IoT, combinando exploração de vulnerabilidades, suporte a múltiplas arquiteturas e diversos métodos de persistência para manter acesso de longo prazo aos sistemas infectados”, disse a Fortinet.
“O uso de exploits conhecidos, como a
CVE-2017-17215
, junto com amplas capacidades de força bruta, evidencia sua adaptabilidade e eficiência para ampliar o alcance da infecção.”
Paralelamente, a Unit 42 afirmou ter detectado varreduras automatizadas tentando explorar a vulnerabilidade
CVE-2023-33538
, uma falha de injeção de comandos com nota CVSS 8,8 que afeta roteadores Wi-Fi da TP-Link fora de suporte, embora com uma abordagem falha que não resulta em comprometimento bem-sucedido.
Vale destacar que essa falha foi incluída no catálogo Known Exploited Vulnerabilities, da CISA, em junho de 2025.
Os modelos afetados são os seguintes:
TL-WR940N v2 e v4
TL-WR740N v1 e v2
TL-WR841N v8 e v10
“Embora os ataques observados em ambiente real tenham falhado, nossa análise confirma que a vulnerabilidade subjacente é real”, afirmaram os pesquisadores Asher Davila, Malav Vyas e Chris Navarrete.
“A exploração bem-sucedida exige autenticação na interface web do roteador.”
Nesse caso, as tentativas de ataque buscam implantar um malware de botnet semelhante à Mirai, com o código-fonte trazendo diversas referências à string “Condi”.
O malware também tem capacidade de se atualizar para uma versão mais recente e atuar como servidor web para espalhar a infecção a outros dispositivos que se conectem a ele.
Como os dispositivos da TP-Link afetados não recebem mais suporte ativo, a orientação é substituí-los por um modelo mais novo e garantir que credenciais padrão não sejam utilizadas.
“No futuro previsível, o cenário de segurança continuará sendo moldado pelo risco persistente de credenciais padrão em dispositivos IoT”, afirmou a Unit 42.
“Essas credenciais podem transformar uma vulnerabilidade limitada e autenticada em um ponto de entrada crítico para atacantes determinados.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...