Akamai ha scoperto due botnet basate su varianti del malware Mirai che sfruttano la vulnerabilità critica CVE-2025-24016 nei server Wazuh. A evidenziare la campagna malevola su larga scala il team Akamai Security Intelligence and Response Team (SIRT). Le due distinte botnet stanno approfittando della falla per propagarsi e infettare sistemi vulnerabili. Ma c’è un dettaglio che colpisce: i nomi di dominio utilizzati in una delle due botnet sono in lingua italiana. Questo lascia pensare a un possibile targeting specifico di utenti e infrastrutture nel nostro Paese.
Il target comprende utenti italofoni o residenti in Italia
I domini come gestisciweb.com, adesso-online.com, multi-canale.com, versioneonline.com e altri sono linguisticamente coerenti con l’italiano ma in realtà controllati da server Command-and-Control (C2). E sembrano costruiti appositamente per ingannare o mimetizzarsi nel contesto italiano. Un approccio che potrebbe indicare una campagna studiata per colpire dispositivi IoT, router e server gestiti da utenti italofoni o residenti in Italia.
La minaccia: il malware Mirai e la falla nei server Wazuh
La vulnerabilità sfruttata (CVE-2025-24016) permette a un attaccante di eseguire codice remoto su server Wazuh non aggiornati (versioni 4.4.0 – 4.9.0), tramite una richiesta API manipolata. La falla è stata resa pubblica a febbraio 2025, e già a marzo Akamai ha osservato exploit attivi attraverso honeypot distribuiti globalmente. Una delle due botnet, chiamata informalmente ‘Resbot’ o ‘Resentual’, carica uno script malevolo su dispositivi vulnerabili, installando una variante del malware Mirai. Questo script contiene nomi di dominio in italiano che, se visitati o analizzati superficialmente, possono apparire innocui o simili a quelli usati in ambienti aziendali legittimi.
La lingua italiana come camouflage
La presenza sistematica di riferimenti italiani nei domini dannosi suggerisce maggiore probabilità di targeting verso il territorio italiano o utenti con preferenze linguistiche italiane. Questo espone a un rischio specifico aziende italiane, provider di servizi, enti pubblici e utenti domestici che utilizzano dispositivi connessi con versioni vulnerabili di Wazuh o router consumer non aggiornati. L’uso di vecchie varianti di Mirai e nuove vulnerabilità appena pubblicate si conferma una strategia efficace per gli attori malevoli. In questo caso, l’aggiunta di un elemento linguistico – la lingua italiana come camouflage – dimostra un’evoluzione delle tecniche di ingegneria sociale applicate anche all’automazione delle botnet.
