Nel tardo ottobre 2025 è emersa una nuova campagna malware denominata ShadowV2, che coincide con un importante disservizio globale dell’infrastruttura cloud AWS. Questa minaccia sofisticata sfrutta vulnerabilità nei dispositivi IoT per creare una botnet utilizzata in attacchi di tipo Distributed Denial of Service (DDoS).
La rapida diffusione del malware indica un’azione coordinata volta a sfruttare dispositivi compromessi per attività disruptive su larga scala. L’infezione si è propagata rapidamente in diversi settori, tra cui tecnologia, istruzione e retail, colpendo organizzazioni negli Stati Uniti, in Europa e in Asia.
Secondo gli esperti, questa ondata potrebbe essere stata una sorta di prova per valutare la capacità della botnet di causare interruzioni di servizio su vasta scala. La portata globale della campagna evidenzia i rischi persistenti legati all’uso di dispositivi connessi non adeguatamente protetti negli ambienti aziendali.
Gli analisti di sicurezza hanno individuato che ShadowV2 sfrutta vecchie vulnerabilità non ancora risolte in router e DVR di produttori come D-Link e TP-Link. Sfruttando queste falle note, gli attaccanti hanno compromesso numerosi dispositivi che non erano stati aggiornati con le ultime patch di sicurezza.
La catena di attacco inizia quando un dispositivo vulnerabile viene costretto a scaricare uno script chiamato binary.sh da un server remoto. Lo script rileva automaticamente l’architettura del dispositivo (ARM, MIPS o x86) e recupera il payload malware corrispondente per garantire l’esecuzione.
ShadowV2 riprende l’architettura della variante Mirai “LZRD”, ma utilizza tecniche di offuscamento diverse. All’avvio, il malware decifra la sua configurazione tramite un semplice cifrario XOR con la chiave 0x22. I dati nascosti includono percorsi di file come /proc/ e stringhe User-Agent ingannevoli per mascherare il traffico malevolo come attività legittima.
Una volta attivo, il malware stabilisce la connessione con il server di comando e controllo per ricevere istruzioni di attacco. Supporta diversi vettori DDoS, tra cui UDP flood e TCP SYN flood, associando questi comportamenti a specifici ID di funzione interna per un rapido dispiegamento contro le vittime.
Le vulnerabilità sfruttate includono:
– DDWRT: CVE-2009-2765 (esecuzione arbitraria di comandi tramite HTTP Daemon)
– D-Link: CVE-2020-25506 (esecuzione di codice CGI su ShareCenter)
– D-Link: CVE-2022-37055 (overflow di buffer in HNAP Main)
– D-Link: CVE-2024-10914 e CVE-2024-10915 (iniezione di comandi in Account Manager)
– DigiEver: CVE-2023-52163 (iniezione di comandi in Time Setup CGI)
– TBK: CVE-2024-3721 (iniezione di comandi su DVR)
– TP-Link: CVE-2024-53375 (iniezione di comandi su dispositivi Archer)
Questa evoluzione conferma come i dispositivi IoT non aggiornati o giunti a fine vita continuino a rappresentare un bersaglio privilegiato per gli attaccanti. Si raccomanda di applicare tempestivamente le patch di sicurezza, sostituire i prodotti non più supportati, limitare i servizi esposti tramite firewall e VPN, segmentare la rete, rimuovere componenti inutili, disabilitare funzionalità non necessarie e adottare configurazioni sicure dei vendor.
