E’ stata scoperta, dai ricercatori di Cato CRTL, una nuova campagna botnet denominata Ballista che, sfruttando una vulnerabilità grave di esecuzione di codice remoto (CVE-2023-1389) presente nei router TP-Link Archer AX-21 non aggiornati, consente l’iniezione di comandi e l’esecuzione di codice remoto, permettendo al malware di diffondersi automaticamente su Internet. La vulnerabilità era già stata utilizzata in precedenza per distribuire malware come Mirai, Condi e AndroxGh0st.
La botnet Ballista è stata rilevata per la prima volta il 10 gennaio 2025, con l’ultimo tentativo di sfruttamento registrato il 17 febbraio scorso. Stando alle rilevazioni dei ricercatori, si contano ad oggi oltre 6.000 dispositivi compromessi, principalmente concentrati in Brasile, Polonia, Regno Unito, Bulgaria e Turchia. La botnet prende di mira i settori manifatturiero, sanitario, dei servizi e tecnologia in paesi quali Stati Uniti, Australia, Cina e Messico.
L’attacco si snoda attraverso una serie di fasi: anzitutto viene usato un dropper malware che scarica uno script che ha lo scopo di recuperare un eseguibile adatto all’architettura del dispositivo preso di mira. L’avvio dell’eseguibile permette di stabilire un canale di comando e controllo crittografato su porta 82 per prendere il controllo del dispositivo compromesso. Attraverso questo canale è possibile eseguire comandi shell Linux per ulteriori attacchi di esecuzione di codice da remoto, attacchi DoS e tentativi di lettura dei file sensibili sul sistema.
Ballista è progettato per diffondersi ad altri router sfruttando la stessa vulnerabilità e può cancellare tracce della sua presenza per evitare rilevamenti. Durante l’analisi del malware, gli esperti hanno notato che gli attori della minaccia hanno sostituito l’indirizzo IP iniziale con domini della rete TOR per migliorare la furtività dell’attacco. Questo indica che il malware è ancora in fase attiva di sviluppo.
Le analisi condotte suggeriscono che l’origine della botnet potrebbe essere italiana, basandosi sull’indirizzo IP iniziale e su alcune stringhe rilevate negli eseguibili del malware. Tuttavia, l’indirizzo IP originale non è più operativo.
Gli utenti in possesso dei router TP-Link Archer AX-21 sono invitati a verificare la disponibilità degli aggiornamenti firmware tramite le interfacce web o l’app TP-Link Tether.