Una nuova campagna di infezione su larga scala sta prendendo di mira dispositivi connessi in rete, e che sfrutta una falla critica nei server Wazuh. L’attacco sfrutta domini in lingua italiana per mascherare attività malevole. A rivelarlo è il Security Intelligence and Response Team (SIRT) di Akamai, che ha individuato due distinte botnet basate su varianti del noto malware Mirai, capaci di propagarsi rapidamente su sistemi vulnerabili.
CVE-2025-24016: la falla nei server Wazuh sfruttata per diffondere Mirai
Al centro della campagna c’è la vulnerabilità CVE-2025-24016, resa pubblica a febbraio 2025 e presente nelle versioni di Wazuh dalla 4.4.0 alla 4.9.0. L’exploit consente l’esecuzione di codice remoto tramite una richiesta API manipolata. Già dal mese di marzo, Akamai ha osservato attacchi attivi grazie al monitoraggio attraverso honeypot distribuiti globalmente.
Una delle due botnet coinvolte, identificata informalmente come “Resbot” o “Resentual”, sfrutta questa falla per installare una variante di Mirai tramite script malevolo. Il malware compromette dispositivi IoT, router e server, aprendo la strada a possibili attacchi DDoS o altre attività dannose.
Domini in italiano: l’Italia nel mirino?
L’elemento che ha destato maggiore allarme riguarda l’utilizzo, da parte di una delle botnet, di nomi di dominio in lingua italiana come gestisciweb.com, adesso-online.com, multi-canale.com, versioneonline.com. Questi domini, pur risultando linguisticamente coerenti con il contesto italiano, sono collegati a server Command-and-Control (C2) e usati per la distribuzione e il coordinamento del malware.
La scelta di tali domini non sembra casuale: suggerisce un potenziale targeting specifico del mercato italiano, o più in generale degli utenti italofoni. I nomi possono facilmente confondere utenti finali, amministratori di rete o operatori aziendali, inducendoli a considerarli attendibili.
Una minaccia concreta per aziende, enti e utenti domestici
Il rischio è concreto per aziende italiane, provider di servizi, enti pubblici e utenti privati. In particolare, sono vulnerabili tutti i sistemi che utilizzano versioni di Wazuh non aggiornate, così come router consumer lasciati senza patch. L’uso di una lingua locale per camuffare i segnali di compromissione rappresenta un’evoluzione dell’ingegneria sociale applicata all’automazione delle botnet.
Le tecniche di attacco, sebbene poggino su vecchie varianti di Mirai, risultano rafforzate da nuove vulnerabilità e da elementi contestuali come la localizzazione linguistica, rendendo più difficile l’individuazione dei pattern dannosi.
Raccomandazioni e aggiornamenti
Akamai raccomanda l’aggiornamento immediato di tutte le installazioni di Wazuh alle versioni più recenti, oltre a un controllo dei nomi di dominio sospetti all’interno delle configurazioni di rete. Il team di ricerca continua a monitorare l’evolversi della campagna e fornirà aggiornamenti tramite i propri canali ufficiali.
