Pesquisadores da Akamai identificaram uma campanha ativa de ciberataques que explora brechas em dispositivos IoT descontinuados, particularmente da marca GeoVision, para propagar variantes do malware Mirai. As ações maliciosas, registradas pela equipe de inteligência da Akamai (SIRT) desde abril de 2025, miram sistemas vulneráveis com o objetivo de integrá-los a uma rede usada em ataques de negação de serviço (DDoS).
Falhas em IoT obsoletos alimentam nova onda da botnet Mirai
Essas invasões utilizam falhas críticas — CVE-2024-6047 e CVE-2024-11120 — com pontuação CVSS de 9,8, o que as classifica como extremamente graves. Ambas permitem a execução remota de comandos por meio da manipulação do endpoint “/DateSetting.cgi” e da injeção de código no parâmetro “szSrvIpAddr” dos dispositivos da GeoVision.
Malware Mirai LZRD e outras falhas exploradas
Ao comprometer os equipamentos, os invasores injetam comandos para baixar e rodar uma versão ARM do Mirai, batizada de LZRD. Além das falhas específicas da GeoVision, outras vulnerabilidades conhecidas, como a falha no Hadoop YARN (CVE-2018-10561) e uma brecha no sistema DigiEver relatada em dezembro de 2024, também estão sendo aproveitadas.
Há indícios de que essa operação pode estar ligada a atividades prévias associadas ao grupo conhecido como InfectedSlurs, reforçando o padrão de ataques voltados a dispositivos com firmware desatualizado.
Segundo Kyle Lefton, pesquisador da Akamai, os criminosos digitais tendem a mirar equipamentos abandonados por fabricantes ou que não recebem mais atualizações, tornando-os alvos fáceis. “Muitos dispositivos estão em uso mesmo após o encerramento do suporte, o que os transforma em brechas abertas para botnets como a Mirai”, alerta.
Notícias Relacionadas
Cibersegurança crítica
SysAid corrige brechas graves que permitiam ataques remotos antes do login
Uma nova série de vulnerabilidades descobertas no software SysAid, amplamente utilizado para gerenciamento de serviços de TI (ITSM), acendeu um alerta no setor de cibersegurança. As falhas afetam diretamente a versão local da plataforma e possibilitam a execução remota de código (RCE) mesmo antes da autenticação do usuário — um dos cenários mais críticos em […]
Segurança Windows
Problema crítico de autenticação afeta controladores do Windows Server após atualizações de abril
As atualizações de segurança liberadas em abril de 2025 pela Microsoft estão gerando instabilidades nos sistemas de autenticação de controladores de domínio do Windows Server, incluindo as versões 2016, 2019, 2022 e a mais recente, 2025. Atualizações recentes da Microsoft comprometem autenticação em servidores corporativos A falha ocorre após a instalação do update cumulativo KB5055523, […]
Software da Samsung também é alvo
Paralelamente, pesquisadores da Arctic Wolf e do SANS Technology Institute chamaram atenção para a exploração ativa da falha CVE-2024-7399, com pontuação CVSS 8,8, no servidor MagicINFO 9 da Samsung. Essa vulnerabilidade de travessia de diretório permite a gravação arbitrária de arquivos por usuários não autenticados — o que pode ser explorado para executar códigos maliciosos remotamente.
Apesar de a falha ter sido corrigida em agosto de 2024, ela voltou a representar riscos após a divulgação pública de uma prova de conceito (PoC) em abril de 2025, que facilita a automatização do ataque por scripts shell.
A falha permite que arquivos JavaServer Pages (JSP) manipulados sejam gravados no sistema, possibilitando a ativação da botnet Mirai em servidores comprometidos. A recomendação dos especialistas é clara: atualizar o MagicINFO para a versão 21.1050 ou superior o quanto antes.
Como se proteger de ataques
Empresas e usuários que ainda operam com dispositivos obsoletos da GeoVision ou versões desatualizadas do Samsung MagicINFO devem considerar urgentemente a substituição por modelos mais recentes e atualizados. A implementação de monitoramento contínuo e o bloqueio de endpoints vulneráveis também são medidas eficazes contra esse tipo de ameaça.
A presença persistente da botnet Mirai no cenário de cibersegurança demonstra que a negligência com atualizações pode transformar simples equipamentos conectados em agentes de ataques em larga escala.
