Las botnets Mirai y Resbot están siendo utilizadas por actores de amenazas para explotar una vulnerabilidad crítica ahora parcheada en el servidor Wazuh, identificada como CVE-2025-24016, con una puntuación CVSS de 9.9. Esta falla de seguridad, de tipo deserialización insegura, permite la ejecución remota de código (RCE) y ha sido aprovechada para lanzar campañas de ataques DDoS a gran escala.
¿Qué es CVE-2025-24016 y cómo afecta a Wazuh?
CVE-2025-24016 es una vulnerabilidad presente en todas las versiones del servidor Wazuh hasta la 4.9.0, y reside específicamente en su API. La falla ocurre en el proceso en que los parámetros de la DistributedAPI se serializan como JSON y luego se deserializan mediante la función
1 | as_wazuh_object |
ubicada en el archivo
1 | common.py |
. Un atacante puede inyectar código malicioso en formato JSON y ejecutar comandos arbitrarios en Python de forma remota.
Esta vulnerabilidad fue solucionada en febrero de 2025 con el lanzamiento de la versión 4.9.1, aunque un exploit de prueba de concepto (PoC) fue publicado casi al mismo tiempo, lo que facilitó que múltiples grupos comenzaran a explotarla rápidamente.
Campaña maliciosa detectada por Akamai
La empresa de ciberseguridad Akamai detectó la explotación activa de CVE-2025-24016 a finales de marzo de 2025. Apenas semanas después de la publicación del PoC, se observaron intentos de comprometer servidores Wazuh mediante dos botnets diferentes basadas en Mirai: LZRD Mirai y Resbot (o Resentual).
Los investigadores Kyle Lefton y Daniel Messing de Akamai señalaron que este caso evidencia cómo los actores de amenazas están acortando los tiempos entre la divulgación de una vulnerabilidad y su explotación en campañas reales.
LZRD Mirai: persistencia en dispositivos IoT
En el primer vector de ataque, una vez explotada la vulnerabilidad, se ejecuta un script de shell que descarga diferentes variantes de Mirai desde un servidor externo (
1 | 176.65.134[.]62 |
). Estas muestras se adaptan a diversas arquitecturas, lo que demuestra la versatilidad de la botnet. La variante LZRD, en particular, ha estado activa desde 2023 y ha sido utilizada en ataques a dispositivos IoT obsoletos como los de GeoVision.
Además, se han identificado variantes como “neon”, “vision” y una versión actualizada de V3G4, todas asociadas con la infraestructura comprometida.
Entre otras vulnerabilidades explotadas por estas variantes de Mirai destacan:
-
CVE-2023-1389 en TP-Link Archer AX21
-
Fallos en Hadoop YARN
-
RCE en routers ZTE ZXV10 H108L
Resbot: otra botnet Mirai que explota la misma falla
La segunda botnet identificada también aprovecha CVE-2025-24016 mediante la ejecución de un script malicioso que propaga la variante Resbot. Lo destacable de esta campaña es que emplea dominios con nomenclatura en italiano, lo que sugiere una posible orientación hacia víctimas de habla italiana.
Resbot emplea múltiples vectores para su propagación:
-
Escaneo de puertos FTP (21) y telnet
-
Explotación de vulnerabilidades antiguas como:
-
CVE-2017-17215 (Huawei HG532)
-
CVE-2014-8361 (Realtek SDK)
-
CVE-2017-18368 (ZyXEL P660HN-T v1)
-
La reutilización del código Mirai y sus variantes
La proliferación de botnets basadas en Mirai se debe en gran parte a la disponibilidad pública de su código fuente y a su facilidad de reutilización. Muchas campañas simplemente combinan exploits recientes con este malware clásico para lanzar ataques a gran escala. Según los expertos, esta tendencia seguirá en aumento mientras existan dispositivos mal configurados o sin parches.
Ataques relacionados con otras vulnerabilidades
Además de CVE-2025-24016, Mirai ha sido vinculada con la explotación de la CVE-2024-3721, una vulnerabilidad de inyección de comandos en los dispositivos DVR TBK. Esta falla se usa para descargar malware desde otro servidor (
1 | 42.112.26[.]36 |
), previa comprobación del entorno de ejecución (máquina virtual o QEMU), lo que indica un intento de evadir análisis automatizados.
Impacto global y propagación
Según Kaspersky, se han detectado más de 50.000 dispositivos DVR vulnerables en línea, principalmente en:
-
China
-
India
-
Egipto
-
Ucrania
-
Rusia
-
Turquía
-
Brasil
Perspectiva en la región APAC y amenazas emergentes
En el primer trimestre de 2025, los países más atacados en la región APAC fueron China, India, Taiwán, Singapur, Japón, Malasia, Hong Kong, Indonesia, Corea del Sur y Bangladesh, según datos de StormWall. La firma de seguridad destaca que los ataques DDoS están migrando hacia técnicas como inundaciones de API y bombardeo de alfombras, que requieren defensas más avanzadas.
Este contexto también se ve agravado por tensiones geopolíticas que están incentivando actividades de hacktivismo y operaciones por parte de actores patrocinados por Estados.
Botnet BADBOX 2.0: una amenaza paralela
En un desarrollo relacionado, el FBI advirtió sobre la botnet BADBOX 2.0, que ha comprometido millones de dispositivos conectados a Internet, en su mayoría fabricados en China. Estos dispositivos infectados son utilizados como proxies residenciales para actividades delictivas como fraudes, evasión de controles de acceso o anonimato en campañas maliciosas.
La importancia de actualizar y proteger la infraestructura
La explotación de CVE-2025-24016 demuestra una vez más la urgencia de aplicar actualizaciones de seguridad de forma oportuna. Las botnets evolucionan rápidamente y aprovechan cualquier descuido en la administración de sistemas. Además, la expansión del malware en dispositivos Linux y entornos IoT exige nuevas estrategias de defensa y colaboración entre gobiernos, empresas tecnológicas y comunidades de ciberseguridad.
Fuente: The Hacker News
