🔥 Fique por dentro das novidades mais quentes do momento! 🔥

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma estrutura de botnet de Internet das Coisas (IoT) anteriormente não relatada, chamada TuxBot v3 Evolution, que mostra sinais de ser desenvolvida com a ajuda de um modelo de linguagem grande (LLM), embora com resultados não tão bem-sucedidos.

“Embora a IA tenha atendido ao pedido de geração de código de botnet, ela incluiu uma isenção de responsabilidade de segurança que o desenvolvedor não conseguiu remover antes do envio”, disse a Unidade 42 da Palo Alto Networks. "Embora o LLM tenha ajudado claramente na construção da botnet, várias funções nas amostras analisadas não funcionaram corretamente."

A empresa de segurança cibernética disse que uma revisão manual do código teria resolvido esses erros e que é possível que existam iterações mais refinadas do malware por aí.

A estrutura do botnet consiste em vários componentes: um agente de bot baseado em C que faz compilação cruzada para várias arquiteturas (por exemplo, ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC e RISC-V), um servidor de comando e controle (C2) baseado em Go com um painel DDoS para aluguel, uma máquina virtual de exploração personalizada, infraestrutura de teste baseada em Docker e um sistema de construção automatizado.

O agente bot foi projetado para acesso Telnet de força bruta em dispositivos direcionados com um conjunto de 1.496 pares de credenciais, bem como incorporar código de exploração direcionado a mais de 30 famílias de dispositivos IoT usando vulnerabilidades conhecidas. Ele se comunica com o servidor C2 por meio de um canal TCP criptografado, enquanto recorre a um algoritmo de geração de domínio (DGA) SHA512, protocolo de fofoca ponto a ponto (P2P) com comandos assinados por Ed25519, Internet Relay Chat (IRC), consultas DNS TXT e pesquisa HTTP como mecanismo de fallback.

A linhagem da estrutura modular remonta a três botnets diferentes, como Mirai, AISURU e Wuhan, além de portar parcialmente algumas de suas funções do kit de ferramentas DDoS Python de código aberto MHDDoS. Pelo menos uma amostra do malware foi carregada na plataforma VirusTotal em 20 de janeiro de 2026, indicando que ele existe há mais de seis meses. As evidências sugerem que o trabalho na botnet começou um ano antes, quando o autor clonou o repositório MHDDoS do GitHub.

“De acordo com a descrição da estrutura, o desenvolvedor do TuxBot construiu o que chamou de plataforma de estrutura C2 de nível profissional com painel de administração multiusuário, implantação automatizada e recursos de ataque modular”, disseram os pesquisadores Chris Navarrete, Asher Davila e Doel Santos.

O componente do servidor C2 baseado em Go usa três portas TCP diferentes para conexões de entrada -

Porta TCP 1999 (ou 31337), que é usada para lidar com o envio de comandos criptografados para bots conectados

Porta TCP 2222, que apresenta um shell interativo para operadores sobre SSH

Porta TCP 9999, que usa uma interface JSON para acesso programático



Uma vez lançado, o botnet segue uma sequência de inicialização predefinida para realizar uma série de ações -

Carregando o endereço C2 de uma arquitetura multicamadas com um canal primário e cinco mecanismos alternativos

Configurando proteções antidepuração e anti-VM que verificam a execução de ferramentas de análise

Escondendo o nome do processo

Instalando persistência

Lançar vários submódulos para montar ataques DDoS, encerrar processos concorrentes, estabelecer canais C2 sobre IRC, HTTP, DNS e P2P, executar scanners para Telnet, SSH, HTTP e Android Debug Bridge (ADB), gerar um proxy SOCKS5 e executar um espaço reservado para mineração de criptomoeda

O scanner HTTP dedicado, em particular, pode gerenciar até 128 conexões simultâneas a qualquer momento, operando com o objetivo de descobrir interfaces web vulneráveis. A persistência, por outro lado, é realizada por meio de um serviço systemd, entradas cron e um processo watchdog keepalive para garantir que o TuxBot permaneça operacional na máquina comprometida.

“Vários arquivos contêm raciocínio bruto da cadeia de pensamento do LLM deixado literalmente nos comentários”, disse Unit42. "Esses comentários são o raciocínio interno do LLM enquanto ele trabalhava nas tarefas de portabilidade. Esse raciocínio é completo com autointerrupções, decisões e referências ao 'usuário' (ou seja, o desenvolvedor que acionou o LLM)."

Embora o TuxBot v3 Evolution seja um botnet em desenvolvimento, as principais funções de trabalho, juntamente com sua dependência de IA, sinalizam integração acelerada de recursos, ao mesmo tempo permitindo que o que parece ser um único desenvolvedor crie um conjunto de ferramentas multifacetado com vários canais C2, uma VM de exploração personalizada e um painel DDoS para aluguel baseado em Go.

“A infraestrutura compartilhada com ferramentas Kaitori v3.9 e AISURU coloca o operador TuxBot dentro do ecossistema Keksec”, concluiu a Unidade 42. "Este grupo é conhecido por executar múltiplas variantes de botnet IoT em paralelo. TuxBot parece ser outra variante nesse portfólio. É aquele que pretende ir além do fork Mirai usual com seu C2 criptografado, seu DGA e um sistema de exploração modular, embora o
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #a #evolução #do #tuxbot #v3 #mostra #sinais #de #desenvolvimento #de #botnet #iot #assistido #por #llm
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment