La variante del botnet Mirai, denominata Aquabot, è stata recentemente individuata mentre sfrutta una vulnerabilità di sicurezza di media gravità che colpisce i telefoni Mitel, con l'obiettivo di arruolarli in una rete in grado di eseguire attacchi di negazione del servizio distribuiti (DDoS). La vulnerabilità in questione è la CVE-2024-41710, caratterizzata da un'iniezione di comandi nel processo di avvio che permette a un attore malintenzionato di eseguire comandi arbitrari nel contesto del telefono. Questa vulnerabilità riguarda i modelli Mitel delle serie 6800, 6900 e 6900w, oltre all'unità di conferenza Mitel 6970, ed è stata risolta da Mitel a metà luglio 2024. Un exploit proof-of-concept (PoC) per questa falla è stato reso pubblico ad agosto.

Oltre alla CVE-2024-41710, Aquabot prende di mira anche altre vulnerabilità come CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 e un difetto di esecuzione di codice remoto che interessa i dispositivi Linksys della serie E. Secondo i ricercatori di Akamai, il botnet Aquabot è basato sul framework Mirai e ha come obiettivo finale il lancio di attacchi DDoS. È noto dal novembre 2023 e l'infrastruttura web dell'azienda ha rilevato tentativi di sfruttamento attivi contro la CVE-2024-41710 dall'inizio di gennaio 2025. Gli attacchi imitano un payload quasi identico al PoC per distribuire il malware del botnet.

L'attacco prevede l'esecuzione di uno script shell che utilizza il comando "wget" per recuperare Aquabot per diverse architetture CPU. La variante Mirai di Aquabot individuata negli attacchi è stata valutata come una terza iterazione del malware, dotata di una nuova funzione "report_kill" che segnala al server di comando e controllo (C2) quando un segnale di terminazione viene rilevato sul dispositivo infetto. Tuttavia, l'invio di queste informazioni non ha ancora suscitato alcuna risposta dal server.

Questa nuova versione, oltre a innescare la comunicazione con il C2 al rilevamento di determinati segnali, si rinomina in "httpd.x86" per evitare di attirare l'attenzione ed è programmata per terminare processi che corrispondono a determinati requisiti, come le shell locali. Si sospetta che le funzionalità di gestione del segnale siano state probabilmente incorporate per creare varianti più furtive o per rilevare attività malevole da botnet concorrenti.

Ci sono alcune prove che suggeriscono che gli attori dietro Aquabot offrano la rete di host compromessi come servizio DDoS su Telegram sotto i nomi Cursinq Firewall, The Eye Services e The Eye Botnet. Questo sviluppo è un segnale che Mirai continua a infettare una vasta gamma di dispositivi connessi a Internet, che spesso mancano di adeguate funzionalità di sicurezza, sono giunti a fine vita o sono accessibili con configurazioni e password predefinite, rendendoli bersagli facili per lo sfruttamento e un canale chiave per attacchi DDoS.