Zerobot (Mirai) exploite des failles Tenda AC1206 et n8n pour propager son botnet

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnérabilités récemment divulguées dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la première exploitation active rapportée depuis leurs divulgations respectives (juillet et décembre 2025). L’article publie des IOCs ainsi que des règles Snort et Yara.

• Vulnérabilités ciblées:

  • CVE-2025-7544: débordement de pile à distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramètre deviceList, conduisant à DoS/RCE (PoC public disponible).
  • CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 à 1.20.4, puis 1.21.1 et 1.22.0) due à l’absence de sandboxing, permettant exécution de code, lecture/écriture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible).

• Exploitation observée (honeypots Akamai) 🧪:

  • Pour Tenda AC1206, l’attaque déclenche le débordement (surcharge de « A ») puis télécharge/execute un script tol.sh depuis l’IP US 144.172.100.228 pour récupérer la charge utile Mirai.
  • Pour n8n, un workflow malveillant exécute des commandes système pour télécharger/lançer tol.sh, qui charge la souche Mirai « zerobotv9 ».
  • En décembre 2025, les opérateurs utilisaient d’abord netcat/socat (et des variantes via sockets Perl/Bash/PHP/Python) pour ouvrir des connexions TCP brutes, avant de passer à curl/wget en janvier 2026.

• Détails sur « Zerobotv9 » 🐙:

  • tol.sh récupère des binaires multi-architectures (x86, x86_64, mips, arm, etc.), empaquetés UPX, avec chaînes chiffrées, le domaine C2 0bot.qzz.io et la chaîne console « bruh why again ».
  • Par rapport à Zerobot (2022), « v9 » est plus petit, non écrit en Go, mais partage la clé XOR Mirai (0x22/0xDEADBEEF). Il ajoute des fonctions d’attaque comme TCPXmas, Mixamp, SSH et une méthode nommée Discord, et embarque des User-Agents codés en dur.

• Autres cibles et contexte:

  • Tentatives supplémentaires contre CVE-2017-9841, CVE-2021-3129 et CVE-2022-22947.
  • L’article souligne que l’exploitation opportuniste de vulnérabilités récemment divulguées reste courante et recommande aux organisations potentiellement affectées de sécuriser et corriger rapidement leurs systèmes.

• IOCs 🔗:

  • IPv4 malveillantes: 103.59.160.237; 140.233.190.96; 144.172.100.228; 172.86.123.179; 216.126.227.101
  • Domaines/C2: 0bot.qzz.io; andro.notemacro.com (chemin: /inihiddenngentod/zerobotv9.); pivot.notemacro.com (chemin: /inihiddenngentod/zerobotv9.)
  • SHA256 (échantillons) [sélection]:
    • c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f
    • 360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da
    • cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24
    • 045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57
    • d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7
    • deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060
    • 6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e
    • 2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3
    • 263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c
    • d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616

• TTPs (extraits) 🧰:

  • Initial Access: exploitation de CVE-2025-7544 (Tenda) et CVE-2025-68613 (n8n); également CVE-2017-9841, CVE-2021-3129, CVE-2022-22947.
  • Execution: téléchargement/Exécution de script tol.sh via wget/curl/tftp/ftpget; workflows n8n malveillants (executeCommand).
  • Defense Evasion/Obfuscation: binaire UPX, chaînes chiffrées, clé XOR 0x22, nettoyage via « rm -rf » et history -c, UA codés en dur.
  • Command & Control: domaine 0bot.qzz.io.
  • Outils réseau: netcat, socat, fallback sockets (Perl/Bash/PHP/Python).

Cet article est une analyse de menace visant à documenter la campagne Zerobot, détailler les vulnérabilités exploitées et fournir des IOCs ainsi que des règles de détection pour les défenseurs.

🧠 TTPs et IOCs détectés

TTP

[‘Initial Access: exploitation de CVE-2025-7544 (Tenda) et CVE-2025-68613 (n8n); également CVE-2017-9841, CVE-2021-3129, CVE-2022-22947.’, ‘Execution: téléchargement/Exécution de script tol.sh via wget/curl/tftp/ftpget; workflows n8n malveillants (executeCommand).’, ‘Defense Evasion/Obfuscation: binaire UPX, chaînes chiffrées, clé XOR 0x22, nettoyage via « rm -rf » et history -c, UA codés en dur.’, ‘Command & Control: domaine 0bot.qzz.io.’, ‘Outils réseau: netcat, socat, fallback sockets (Perl/Bash/PHP/Python).’]

IOC

{‘hashes’: [‘c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f’, ‘360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da’, ‘cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24’, ‘045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57’, ‘d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7’, ‘deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060’, ‘6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e’, ‘2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3’, ‘263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c’, ‘d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616’], ‘domains’: [‘0bot.qzz.io’, ‘andro.notemacro.com’, ‘pivot.notemacro.com’], ‘ips’: [‘103.59.160.237’, ‘140.233.190.96’, ‘144.172.100.228’, ‘172.86.123.179’, ‘216.126.227.101’]}

---

🔗 Source originale : https://www.akamai.com/blog/security-research/2026/feb/zerobot-malware-targets-n8n-automation-platform