Palo Alto Networks Unit 42 araştırmacıları, daha önce rapor edilmemiş TuxBot v3 Evolution adlı IoT botnet çerçevesini detaylandırdı. Bu botnet, büyük dil modeli (LLM) yardımıyla geliştirilmiş olmasına rağmen, sonuçların pek başarılı olmadığı görülüyor. Yapay zeka, botnet kodu oluşturma talebini yerine getirirken, geliştiricinin kaldırmayı unuttuğu bir güvenlik uyarısı ekledi. Araştırmacılar, LLM'nin botnet'in inşasında açıkça yardımcı olduğunu ancak analiz edilen örneklerdeki birçok işlevin düzgün çalışmadığını belirtti. Manuel kod incelemesinin bu hataları çözeceği ve vahşi ortamda daha cilalı sürümlerin bulunabileceği ifade edildi.
Botnet çerçevesi birden çok bileşenden oluşuyor: ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC ve RISC-V gibi çoklu mimariler için çapraz derleme yapan C tabanlı bot ajanı; DDoS kiralama panelli Go tabanlı komuta ve kontrol (C2) sunucusu; özel bir sömürü sanal makinesi; Docker tabanlı test altyapısı ve otomatik derleme sistemi. Bot ajanı, hedef cihazlara 1.496 kimlik bilgisi çiftiyle Telnet erişimini brute-force yapmak ve 30'dan fazla IoT cihaz ailesini hedef alan bilinen güvenlik açıklarını kullanan sömürü kodlarını entegre etmek üzere tasarlanmış. C2 sunucusuyla şifreli TCP kanalı üzerinden iletişim kurarken, SHA512 alan adı üretme algoritması (DGA), Ed25519 imzalı komutlarla eşler arası (P2P) dedikodu protokolü, Internet Relay Chat (IRC), DNS TXT sorguları ve HTTP polling gibi yedek mekanizmalar kullanıyor.
Modüler çerçevenin soyu, Mirai, AISURU ve Wuhan gibi üç farklı botnet'e kadar uzanıyor. Ayrıca açık kaynaklı MHDDoS Python DDoS araç takımından bazı işlevleri kısmen taşıdığı tespit edildi. En az bir kötü amaçlı yazılım örneği 20 Ocak 2026'da VirusTotal platformuna yüklendi ve altı aydan uzun süredir var olduğunu gösteriyor. Botnet üzerindeki çalışmaların, geliştiricinin MHDDoS deposunu GitHub'dan klonladığı tarihten bir yıl önce başladığına dair kanıtlar var. Araştırmacılar, TuxBot geliştiricisinin profesyonel düzeyde bir C2 çerçeve platformu oluşturduğunu; çok kullanıcılı yönetici paneli, otomatik dağıtım ve modüler saldırı yetenekleri içerdiğini belirtti.
Teknik Analiz
Go tabanlı C2 sunucusu, gelen bağlantılar için üç farklı TCP bağlantı noktası kullanıyor: 1999 (veya 31337) numaralı bağlantı noktası, bağlı botlara şifreli komut göndermek için; 2222 numaralı bağlantı noktası, operatörlere SSH üzerinden etkileşimli bir kabuk sunmak için; 9999 numaralı bağlantı noktası ise programatik erişim için JSON arayüzü kullanıyor. Botnet başlatıldığında, önceden tanımlanmış bir başlatma sırasını izleyerek bir dizi eylem gerçekleştiriyor: Birincil kanal ve beş alternatif mekanizmadan oluşan çok katmanlı bir mimariden C2 adresini yükleme; çalışan analiz araçlarını kontrol eden anti-debugging ve anti-VM korumaları kurma; işlem adını gizleme; kalıcılık sağlama; DDoS saldırıları başlatmak, rakip süreçleri sonlandırmak, IRC, HTTP, DNS ve P2P üzerinden C2 kanalları oluşturmak, Telnet, SSH, HTTP ve Android Debug Bridge (ADB) tarayıcıları çalıştırmak, SOCKS5 proxy başlatmak ve kripto para madenciliği yer tutucusu yürütmek için çeşitli alt modülleri başlatma.
Sistem Güvenliği
Özel HTTP tarayıcı, herhangi bir anda 128 eşzamanlı bağlantıyı yönetebiliyor ve güvenlik açığı bulunan web arayüzlerini keşfetme amacıyla çalışıyor. Kalıcılık ise bir systemd hizmeti, cron girdileri ve TuxBot'un güvenliği ihlal edilmiş makinede çalışır durumda kalmasını sağlamak için bir watchdog keepalive süreci aracılığıyla sağlanıyor. Araştırmacılar, birden çok dosyada, yorum satırlarında olduğu gibi bırakılmış ham LLM düşünce zinciri muhakemesi buldu. Bu yorumlar, LLM'nin taşıma görevleri üzerinde çalışırken iç muhakemesini yansıtıyor; kendi kendini kesmeler, kararlar ve 'kullanıcıya' (LLM'yi yönlendiren geliştirici) atıflar içeriyor.
Uzmanların Görüşleri
TuxBot v3 Evolution geliştirilme aşamasında bir botnet olsa da, çekirdek çalışan işlevler ve yapay zekaya olan bağımlılığı, özelliklerin hızlandırılmış entegrasyonuna işaret ediyor. Aynı zamanda, tek bir geliştiricinin birden çok C2 kanalı, özel bir sömürü VM'si ve Go tabanlı DDoS kiralama paneline sahip çok yönlü bir araç seti oluşturmasına olanak tanıyor. Unit 42, Kaitori v3.9 ve AISURU araçlarıyla paylaşılan altyapının, TuxBot operatörünü Keksec ekosistemine yerleştirdiği sonucuna vardı. Bu grubun paralel olarak birden çok IoT botnet varyantı çalıştırdığı biliniyor. TuxBot, bu portföydeki başka bir varyant gibi görünüyor ve şifreli C2, DGA ve modüler sömürü sistemiyle olağan Mirai çatalının ötesine geçmeyi hedefliyor, ancak kurtarılan sürümde bu sistem henüz çalışmıyor.
Bu keşif, yönlendiricileri, IP kameraları, Android kutularını ve zayıf korunan sunucuları hedef alarak çevrimiçi hizmetleri çevrimdışı yapmak ve keşif yapmak için bir ağa dahil eden RustDuck ve AryStinger adlı iki botnet'in ortaya çıkmasının ardından geldi. TuxBot v3 Evolution, yapay zekanın siber suç araçlarının geliştirilmesinde giderek artan rolünü ve bu tür tehditlerin tespit edilmesi ve azaltılması için sürekli izlemenin önemini vurguluyor.
Kaynak: thehackernews.com