LLM支援のTuxBotボットネット、17種類のプロセッサアーキテクチャにわたりIoTデバイスを標的に

TuxBot v3 Evolutionは、ARMやMIPSからx86_64、PowerPC、RISC-Vまで幅広いアーキテクチャで動作するデバイスに感染できる、モジュール式のIoTボットネットフレームワークです。

このプラットフォームは大規模な侵害・永続化・分散型のサービス拒否攻撃を目的として設計されているとみられ、Cベースのボットエージェントと、Goベースのコマンド&コントロール(C2)サーバーで構成されています。

Palo Alto Networks傘下のUnit 42は、社内テレメトリからこのフレームワークの完全なソースコード、コンパイル済みバイナリ、Dockerテスト環境、そして254件の自動DDoSベンチマークレポートを回収したと発表しました。

このボットは侵害後、コンソールに「Infected By Akiru」というメッセージを表示します。これは、コードや運用コンセプトの一部を借用している、より広範なIoTボットネットのエコシステムを暗示していると見られます。

Telnetコンポーネントには、一般的なデフォルト認証情報やベンダー固有のログイン情報を含む1,496組の認証情報ペアが含まれており、セキュリティ対策が不十分なルーター、カメラ、DVR、その他の組み込みシステムに対するブルートフォース攻撃を可能にしています。

マルウェアには303030種類を超えるIoTデバイスファミリーを対象とするエクスプロイトコードも含まれていますが、分析されたビルドではその機能の多くが壊れていました。

このボットネットの主要なC2通信チャネルは、X25519鍵交換とChaCha20-Poly1305暗号を用いた暗号化TCP通信を使用しています。

ComputerSecurity

また、SHA-512ベースのドメイン生成アルゴリズム(DGA)、DNS TXTルックアップ、Ed25519署名コマンドを用いたピアツーピア(P2P)ゴシップ、IRC、HTTPポーリングへのフォールバックも可能です。

Unit 42の調査によると、DNS、DGA、P2Pの各チャネルは機能していた一方、IRCとHTTPの仕組みは文字列暗号化のバグにより機能していませんでした。

この事案で注目すべき点は、開発者がモジュールの生成やエクスプロイトの移植、C2コンポーネントの開発に、LLM(大規模言語モデル)を利用していたとみられることです。

Image

Unit42の研究者によると、TuxBotのエージェントは17種類の対象アーキテクチャに対応しており、Telnet、SSH、HTTP、Android Debug Bridge(ADB)の各スキャナーを使って露出したデバイスを探索します。

LLM支援のTuxBotボットネット

研究者たちは、ソースファイルの中に生のモデル風の推論コメントが埋め込まれているのを発見しました。そこには自己修正や「the user(ユーザー)」への言及も含まれていました。

すべてのCソースファイルには、コードは許可された研究目的にのみ使用可能とするAI生成の免責事項も残されており、運用者がレビューなしにLLM生成のコンテンツをそのまま出荷していたことがうかがえます。

Image

こうした検証の欠如は、重大な欠陥を生み出す結果となりました。TuxBot独自のエクスプロイト用仮想マシンは、ファイルのマジックナンバーの不整合を理由にエクスプロイトパッケージを拒否し、複数のペイロードはXORキーの不一致により使用不能になっていました。

また、複数のHTTP層のDDoS手法が、誤ってTCP SYNフラッドのハンドラーに割り当てられていたことも判明しました。こうした不具合があるにもかかわらず、Unit 42は回収されたバージョンについて、スキャン、ブルートフォース攻撃、永続化、主要なC2通信、DDoSの実行といった中核機能は正常に動作しており、全体としておよそ70%の機能を備えていると評価しています。

このフレームワークにはGoベースの管理パネルも含まれており、TCPポート2222経由のSSH接続でアクセス可能です。運用者はここでボット数を確認したり、「!method target duration」といったコマンドで攻撃を仕掛けたりできます。

バックエンドにはMariaDBが使われており、ユーザーアカウント、割り当て量、権限、攻撃ログを管理していることから、TuxBotは複数ユーザーによる「DDoS請負」型の運用を支援するために構築されたものとみられます。

研究者たちは、組み込まれたドロッパーのアドレス185.10.68[.]127を、Keksec/Kaitori関連のTsunami、Mirai、Gafgytのエコシステムに関連するインフラと結び付けています。

稼働中のC2サーバーは209.182.237[.]133:2222で確認されており、SSHバナーには「SSH-2.0-CNC-Control-Server」が表示されていました。開発初期の検体は2026年1月20日にVirusTotalへ初めて出現し、その後4月にはマルチアーキテクチャ対応の実運用バイナリがテレメトリ上に現れました。

ここで最大のリスクとなるのは、このボットネットが現時点で抱える不具合そのものではなく、それらがいかに容易に修正され得るかという点です。Unit 42は、いくつかの問題は限定的なコード変更、あるいは的を絞ったLLMへのプロンプト入力だけでも修正できる可能性があると指摘しています。

組織は、デフォルト認証情報の排除、不要なTelnetおよびADBサービスの無効化、露出しているIoTデバイスへのパッチ適用に加え、TCPポート1999、2222、9999、1333経由の不審な外向き通信を監視する必要があります。

𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年版・徹底比較 コスト、自動化、対応力を比較: 無料ガイドをダウンロード

翻訳元: https://gbhackers.com/llm-assisted-tuxbot-botnet/

ソース: gbhackers.com