TuxBot v3 Evolution IoT-botnet
A Palo Alto Networks Unit 42 kutatói egy eddig nem dokumentált IoT-botnet keretrendszert elemeztek TuxBot v3 Evolution néven, amelynek teljes forráskódját, 17 processzorarchitektúrára (ARM, MIPS, x86, PowerPC, RISC-V stb.) fordított binárisait, vezérlőszerverét és fejlesztői infrastruktúráját is megszerezték.
A botnet Mirai-alapú elemeket ötvöz az AISURU, a kevéssé ismert Wuhan botnetcsalád és az MHDDoS projekt komponenseivel. A fertőzések elsősorban internetre kötött Linux-alapú IoT-eszközöket céloznak, amelyeket több mint harminc ismert sérülékenység, valamint 1496 gyári vagy gyakran használt Telnet-felhasználónév–jelszó kombináció brute force támadásával kompromittálnak. A sikeres fertőzés után az eszközök az Infected By Akiru üzenetet jelenítik meg, majd titkosított C2-kommunikációt építenek ki, perzisztenciát alakítanak ki, és DDoS-támadások végrehajtására várnak utasításokat. A kutatók szerint a TuxBot infrastruktúrája legalább 2026 márciusa óta aktív, a binárisok pedig január óta jelennek meg a vadonban.
A kutatás szerint a fejlesztők láthatóan nagy nyelvi modelleket használtak a kód elkészítéséhez. Több forrásfájlban megmaradtak az AI által generált biztonsági figyelmeztetések és kommentek, amelyeket a fejlesztők elfelejtettek eltávolítani, emellett számos logikai hiba és működésképtelen funkció is arra utal, hogy a generált kódot nem értették vagy nem tesztelték megfelelően.
A Unit 42 szerint a TuxBot jól példázza az AI kettős szerepét a kiberbűnözésben, miközben jelentősen felgyorsítja új botnetek fejlesztését és meglévő kódok újrafelhasználását, a kevésbé tapasztalt operátorok esetében olyan hibákat is eredményezhet, amelyek megkönnyítik a fenyegetések elemzését és attribúcióját.