悪質なZerobotネットワークは、Tendaルーターとn8n自動化プラットフォームに固有の脆弱性を積極的に悪用し始めました。Akamaiのセキュリティインテリジェンスチームは2026年1月にこのキャンペーンを発見し、独自のハニーポット環境内で大量の攻撃を傍受しました。これらのインシデントは、2025年後半の初期開示後にこれらの特定の欠陥が武器化された初めての確認された事例を表しています。
Miraiの基本フレームワークに基づいて設計されたZerobotは、CVE-2025-7544およびCVE-2025-68613として指定された脆弱性に焦点を当てています。前者はファームウェアバージョン15.03.06.23を実行しているTenda AC1206ルーターに深刻な影響を与えます。setMacFilterCfgハンドラ内に潜む悪質なバッファオーバーフロー欠陥により、攻撃者はdeviceListパラメータを介してリモートから任意のコードを実行できます。脆弱性が暴露された直後に公開されたエクスプロイトのプルーフオブコンセプトの迅速な出現は、犯人たちの努力を大きく加速させました。
後者の脆弱性はn8n内の式評価エンジンと密接に関連しています。0.211.0から1.20.4までのバージョン、および1.21.1と1.22.0のイテレーションは、不用意にホストサーバ上での任意のコマンド実行を許可しており、ワークフロー式の処理中の不十分な分離プロトコルに起因する致命的な見落としです。驚くべきことに、管理者権限をまったく持たないアカウントでもこの欠陥を悪用できます。この隙間を突いて、侵入者はファイルを閲覧・操作し、APIキーに満ちた環境変数を抽出し、その後、被侵害のインフラストラクチャ内に深く根付くことができます。n8nが異なる内部サービスとクラウドベースのプラットフォームを結び付けるために頻繁に使用されていることを考えると、このような侵害は、より広いネットワーク全体にわたる横展開の深刻な危険をもたらします。
Akamaiのアナリストたちは、IPアドレス144.172.100.228から発信されたtol.shという名のスクリプトを取得するための一致した努力をカタログ化しました。このスクリプトは、さまざまなシステムアーキテクチャに合わせたzerobotv9ペイロードを体系的にダウンロードして実行します。悪質なモジュールはUPXパッカーに隠されており、暗号的に難読化された文字列を含み、コマンド・アンド・コントロールドメインである0bot.qzz.ioとの通信を確立しています。そのソースコード内に組み込まれているのは、Miraiの特徴的な認識不可能な初期化文字列であり、その不正なトラフィックを巧みに偽装するために設計されたキュレートされたユーザーエージェントのレパートリーが付属しています。
ドシエ内で説明されているように、このキャンペーンの建築家たちは2025年12月以降に操作を開始し、最初はnetcatとsocatを活用してペイロードを取得してから、curlとwgetに転換しました。新しく生まれた脆弱性の悪用を超えて、Zerobotは絶えずデジタル領域で古くて十分に文書化された欠陥—特にCVE-2017-9841、CVE-2021-3129、CVE-2022-22947—を探し続けています。この戦略は、現代のボットネットの典型的な活動方法を完璧にカプセル化しています:公開された脆弱性開示と既製のエクスプロイトの迅速で日和見的な武器化、システム管理者が必要な防御パッチをデプロイできる前に迅速に攻撃します。
「Zerobot」という名称は元々2022年にFortinetのインテリジェンスブリーフィング内で浮上しました。ただし、その祖先のオペレーターとのいかなるつながりも曖昧さで覆われたままです。このnine iteration(9番目のイテレーション)は、スケールと基本的なプログラミング言語の両方において、その原始的な前身から大きく異なります。しかし、特に暗号XORキー0xDEADBEEFであるMiraiの特定の遺跡的要素を堅固に保持しています。
対応として、Akamaiは侵害の指標の包括的な台帳を配布しており、SnortとYARA防御ルールと、関係するIPアドレスと暗号ハッシュの綿密なレジストリを含んでいます。サイバーセキュリティの最前線は、組織にTendaルーターとn8nデプロイメントを監査し、利用可能なすべての予防的アップデートをすぐに適用し、これらのサービスを外部Webの危険な視線から厳密に隔離することを強く促します。
翻訳元: https://meterpreter.org/the-zerobot-botnet-mutates-to-hijack-tenda-routers-and-n8n-automation-hubs/
