I ricercatori di Akamai hanno scoperto ed esplorato le campagne in evoluzione del NoaBot basato su Mirai, che includono aggiunte al codice sorgente originale, tecniche di offuscamento aggiuntive e cryptomining XMRig.
La botnet Mirai originale è una botnet wormable che prende di mira i dispositivi IoT basati su Linux e viene utilizzata per gli attacchi DDoS e per il cryptomining.
Il malware si diffonde tramite il protocollo SSH utilizzando una botnet Mirai personalizzata che è stata modificata dagli attori della minaccia. Le capacità della nuova botnet includono un wormable self-spreader e una backdoor con chiave SSH per scaricare ed eseguire binari aggiuntivi o diffondersi a nuove vittime. Una versione modificata del miner XMRig viene lanciata come parte dell’attacco. Il miner offusca la sua configurazione e utilizza anche un pool di mining personalizzato per evitare di esporre l’indirizzo del portafoglio utilizzato dal miner.
La botnet Mirai originale è stata identificata nel 2016, ma il suo codice sorgente è stato reso pubblico e oggi sono visibili molte varianti. La nuova campagna di cryptomining scoperta dai ricercatori di Akamai è attiva dall’inizio del 2023. Akamai ha trovato prove che collegano la botnet al worm P2PInfect, scoperta da Unit 42 nel luglio 2023.
