Admin
Администратор
Вредоносная сеть Zerobot активно эксплуатирует уязвимости в маршрутизаторах Tenda и платформе автоматизации n8n. Кампания была обнаружена командой Akamai в январе 2026 года, зафиксировавшей атаки в собственной сети приманок.
Zerobot построен на базе Mirai и нацелен на уязвимости CVE-2025-7544 и CVE-2025-68613. Первая затрагивает маршрутизаторы Tenda AC1206, а вторая связана с системой обработки выражений в n8n, позволяющей выполнять произвольные команды на сервере даже без административных прав.
Аналитики Akamai зафиксировали попытки загрузки сценария tol.sh, который скачивает и запускает вредоносные файлы zerobotv9. Модуль упакован с помощью UPX, содержит зашифрованные строки и обращается к управляющему домену 0bot.qzz.io. Операторы начали кампанию не позднее декабря 2025 года, используя netcat и socat для загрузки полезной нагрузки, а затем переключились на curl и wget. Zerobot также сканирует известные старые уязвимости, такие как CVE-2017-9841, CVE-2021-3129 и CVE-2022-22947. Akamai рекомендует организациям проверить маршрутизаторы Tenda и установки n8n, установить обновления и ограничить доступ к сервисам из внешней сети.
