Pesquisadores da Akamai identificaram uma campanha ativa de ciberataques que explora brechas em dispositivos IoT descontinuados, particularmente da marca GeoVision, para propagar variantes do malware Mirai. As ações maliciosas, registradas pela equipe de inteligência da Akamai (SIRT) desde abril de 2025, miram sistemas vulneráveis com o objetivo de integrá-los a uma rede usada em ataques de negação de serviço (DDoS).
Falhas em IoT obsoletos alimentam nova onda da botnet Mirai
Essas invasões utilizam falhas críticas — CVE-2024-6047 e CVE-2024-11120 — com pontuação CVSS de 9,8, o que as classifica como extremamente graves. Ambas permitem a execução remota de comandos por meio da manipulação do endpoint “/DateSetting.cgi” e da injeção de código no parâmetro “szSrvIpAddr” dos dispositivos da GeoVision.
Malware Mirai LZRD e outras falhas exploradas
Ao comprometer os equipamentos, os invasores injetam comandos para baixar e rodar uma versão ARM do Mirai, batizada de LZRD. Além das falhas específicas da GeoVision, outras vulnerabilidades conhecidas, como a falha no Hadoop YARN (CVE-2018-10561) e uma brecha no sistema DigiEver relatada em dezembro de 2024, também estão sendo aproveitadas.
Há indícios de que essa operação pode estar ligada a atividades prévias associadas ao grupo conhecido como InfectedSlurs, reforçando o padrão de ataques voltados a dispositivos com firmware desatualizado.
Segundo Kyle Lefton, pesquisador da Akamai, os criminosos digitais tendem a mirar equipamentos abandonados por fabricantes ou que não recebem mais atualizações, tornando-os alvos fáceis. “Muitos dispositivos estão em uso mesmo após o encerramento do suporte, o que os transforma em brechas abertas para botnets como a Mirai”, alerta.
Software da Samsung também é alvo
Paralelamente, pesquisadores da Arctic Wolf e do SANS Technology Institute chamaram atenção para a exploração ativa da falha CVE-2024-7399, com pontuação CVSS 8,8, no servidor MagicINFO 9 da Samsung. Essa vulnerabilidade de travessia de diretório permite a gravação arbitrária de arquivos por usuários não autenticados — o que pode ser explorado para executar códigos maliciosos remotamente.
Apesar de a falha ter sido corrigida em agosto de 2024, ela voltou a representar riscos após a divulgação pública de uma prova de conceito (PoC) em abril de 2025, que facilita a automatização do ataque por scripts shell.
A falha permite que arquivos JavaServer Pages (JSP) manipulados sejam gravados no sistema, possibilitando a ativação da botnet Mirai em servidores comprometidos. A recomendação dos especialistas é clara: atualizar o MagicINFO para a versão 21.1050 ou superior o quanto antes.
Como se proteger de ataques
Empresas e usuários que ainda operam com dispositivos obsoletos da GeoVision ou versões desatualizadas do Samsung MagicINFO devem considerar urgentemente a substituição por modelos mais recentes e atualizados. A implementação de monitoramento contínuo e o bloqueio de endpoints vulneráveis também são medidas eficazes contra esse tipo de ameaça.
A presença persistente da botnet Mirai no cenário de cibersegurança demonstra que a negligência com atualizações pode transformar simples equipamentos conectados em agentes de ataques em larga escala.