Nova variante do Mirai explora a CVE-2024-3721 para sequestrar DVRs TBK e montar botnet de DDoS
20 de Abril de 2026

Atores maliciosos estão explorando falhas de segurança em DVRs da TBK e em roteadores Wi-Fi da TP-Link fora de suporte para instalar variantes da botnet Mirai em dispositivos comprometidos, segundo análises da Fortinet FortiGuard Labs e da Unit 42, da Palo Alto Networks.

No caso dos DVRs da TBK, os ataques exploram a vulnerabilidade CVE-2024-3721 , uma falha de injeção de comandos de severidade média, com nota CVSS 6,3, que afeta os modelos DVR-4104 e DVR-4216.

A falha está sendo usada para distribuir uma variante da Mirai chamada Nexcorium.

“Dispositivos IoT estão se tornando alvos prioritários para ataques em larga escala devido ao uso disseminado, à falta de atualizações e, muitas vezes, a configurações de segurança fracas”, afirmou o pesquisador de segurança Vincent Li.

“Atores maliciosos continuam explorando vulnerabilidades conhecidas para obter acesso inicial e implantar malware que pode persistir, se espalhar e causar ataques de negação de serviço distribuído (DDoS).”

Esta não é a primeira vez que a falha é explorada em ambiente real.

Ao longo do último ano, o problema já foi usado para distribuir uma variante da Mirai e também uma botnet distinta chamada RondoDox.

Em setembro de 2025, a CloudSEK também revelou detalhes de uma botnet do tipo loader-as-a-service em larga escala, que vinha distribuindo payloads do RondoDox, Mirai e Morte por meio de credenciais fracas e falhas antigas em roteadores, dispositivos IoT e aplicações corporativas.

De acordo com a Fortinet, a campanha começa com a exploração da CVE-2024-3721 para baixar e executar um script que, em seguida, carrega o payload da botnet de acordo com a arquitetura do sistema Linux.

Depois da execução, o malware exibe a mensagem “nexuscorp has taken control”.

“A Nexcorium tem uma arquitetura semelhante à de variantes da Mirai, incluindo inicialização de tabela de configuração codificada em XOR, módulo watchdog e módulo de ataque DDoS”, informou a empresa.

O malware também inclui um exploit para a vulnerabilidade CVE-2017-17215 , visando dispositivos Huawei HG532 na rede, e traz uma lista de nomes de usuário e senhas embutidos no código para ataques de força bruta contra os hosts da vítima por meio de conexões Telnet.

Se o login por Telnet for bem-sucedido, o malware tenta obter uma shell, estabelecer persistência com crontab e um serviço systemd e se conectar a um servidor externo para aguardar comandos de ataques DDoS via UDP, TCP e SMTP.

Depois de consolidar a persistência no dispositivo, ele apaga o binário originalmente baixado para dificultar a análise.

“O malware Nexcorium apresenta características típicas de botnets modernas voltadas para IoT, combinando exploração de vulnerabilidades, suporte a múltiplas arquiteturas e diversos métodos de persistência para manter acesso de longo prazo aos sistemas infectados”, disse a Fortinet.

“O uso de exploits conhecidos, como a CVE-2017-17215 , junto com amplas capacidades de força bruta, evidencia sua adaptabilidade e eficiência para ampliar o alcance da infecção.”

Paralelamente, a Unit 42 afirmou ter detectado varreduras automatizadas tentando explorar a vulnerabilidade CVE-2023-33538 , uma falha de injeção de comandos com nota CVSS 8,8 que afeta roteadores Wi-Fi da TP-Link fora de suporte, embora com uma abordagem falha que não resulta em comprometimento bem-sucedido.

Vale destacar que essa falha foi incluída no catálogo Known Exploited Vulnerabilities, da CISA, em junho de 2025.

Os modelos afetados são os seguintes:

TL-WR940N v2 e v4
TL-WR740N v1 e v2
TL-WR841N v8 e v10

“Embora os ataques observados em ambiente real tenham falhado, nossa análise confirma que a vulnerabilidade subjacente é real”, afirmaram os pesquisadores Asher Davila, Malav Vyas e Chris Navarrete.

“A exploração bem-sucedida exige autenticação na interface web do roteador.”

Nesse caso, as tentativas de ataque buscam implantar um malware de botnet semelhante à Mirai, com o código-fonte trazendo diversas referências à string “Condi”.

O malware também tem capacidade de se atualizar para uma versão mais recente e atuar como servidor web para espalhar a infecção a outros dispositivos que se conectem a ele.

Como os dispositivos da TP-Link afetados não recebem mais suporte ativo, a orientação é substituí-los por um modelo mais novo e garantir que credenciais padrão não sejam utilizadas.

“No futuro previsível, o cenário de segurança continuará sendo moldado pelo risco persistente de credenciais padrão em dispositivos IoT”, afirmou a Unit 42.

“Essas credenciais podem transformar uma vulnerabilidade limitada e autenticada em um ponto de entrada crítico para atacantes determinados.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...