TuxBot v3: Yapay Zeka Destekli IoT Botneti Geliştiriliyor, Ancak Kod Hatalarıyla Dolu Siber Güvenlik

TuxBot v3: Yapay Zeka Destekli IoT Botneti Geliştiriliyor, Ancak Kod Hatalarıyla Dolu

TuxBot v3 Evolution, yapay zeka yardımıyla geliştirilen ancak çalışmayan kod parçaları içeren yeni bir IoT botnet çerçevesi. Palo Alto Networks analiz

Siber güvenlik araştırmacıları, TuxBot v3 Evolution adlı daha önce bilinmeyen bir Nesnelerin İnterneti (IoT) botnet çerçevesini gün ışığına çıkardı. Palo Alto Networks Unit 42 ekibinin raporuna göre, bu botnet büyük bir dil modeli (LLM) yardımıyla geliştirilmiş olmasına rağmen, sonuçlar pek başarılı değil. Araştırmacılar, yapay zekanın botnet kodu üretme talebine uyduğunu ancak geliştiricinin, kodun içinde yer alan bir güvenlik uyarısını kaldırmayı unuttuğunu belirtiyor. Bu da botnetin bazı fonksiyonlarının düzgün çalışmamasına yol açmış.

TuxBot v3, birden fazla bileşenden oluşan karmaşık bir çerçeve: C tabanlı bot ajanı (ARM, MIPS, x86_64, RISC-V gibi çoklu mimariler için çapraz derlenebiliyor), Go tabanlı komuta ve kontrol (C2) sunucusu (DDoS kiralama paneli içeriyor), özel bir exploit sanal makinesi, Docker tabanlı test altyapısı ve otomatik derleme sistemi. Bot ajanı, hedef cihazlara Telnet erişimini brute-force yöntemiyle kırmak için 1.496 kimlik bilgisi çifti kullanıyor ve 30'dan fazla IoT cihaz ailesini hedef alan bilinen güvenlik açıklarından yararlanıyor. C2 sunucusuyla şifreli TCP kanalı üzerinden iletişim kurarken, SHA512 tabanlı domain oluşturma algoritması (DGA), Ed25519 imzalı komutlarla eşler arası (P2P) gossip protokolü, IRC, DNS TXT sorguları ve HTTP polling gibi yedek mekanizmalar kullanıyor.

Bu modüler çerçevenin kökeni, Mirai, AISURU ve Wuhan gibi üç farklı botnete dayanıyor. Ayrıca açık kaynaklı MHDDoS Python DDoS aracından bazı fonksiyonlar kısmen taşınmış. En az bir örneği 20 Ocak 2026'da VirusTotal'a yüklenen botnetin, altı aydan uzun süredir aktif olduğu belirtiliyor. Geliştiricinin, GitHub'dan MHDDoS deposunu klonlayarak botnet üzerinde çalışmaya başladığı tahmin ediliyor. Unit 42 araştırmacıları, TuxBot geliştiricisinin 'profesyonel düzeyde bir C2 çerçevesi platformu' oluşturduğunu ve çok kullanıcılı yönetici paneli, otomatik dağıtım ve modüler saldırı yetenekleri eklediğini ifade ediyor.

Sonuç ve Değerlendirme

Go tabanlı C2 sunucusu, üç farklı TCP portu kullanıyor: 1999 (veya 31337) portu şifreli komut dağıtımı, 2222 portu SSH üzerinden interaktif kabuk, 9999 portu ise JSON arayüzüyle programatik erişim sağlıyor. Botnet başlatıldığında, önceden tanımlanmış bir başlatma sırasını izleyerek; C2 adresini yükler (bir ana kanal ve beş alternatif mekanizma ile çok katmanlı mimari), hata ayıklama ve sanal makine karşıtı korumaları kurar, süreç adını gizler, kalıcılık sağlar, DDoS saldırıları başlatmak, rakip süreçleri sonlandırmak, IRC/HTTP/DNS/P2P üzerinden C2 kanalları oluşturmak, Telnet/SSH/HTTP/ADB tarayıcıları çalıştırmak, SOCKS5 proxy başlatmak ve kripto para madenciliği placeholder'ı yürütmek için alt modülleri devreye alır.

Özel HTTP tarayıcısı, aynı anda 128 eşzamanlı bağlantıyı yönetebiliyor ve güvenlik açığı bulunan web arayüzlerini keşfetmeyi hedefliyor. Kalıcılık ise systemd hizmeti, cron girişleri ve watchdog süreciyle sağlanıyor. İlginç bir şekilde, Unit 42 araştırmacıları birden fazla dosyada, LLM'in ham düşünce zinciri akıl yürütmesinin yorum satırları olarak bırakıldığını tespit etti. Bu yorumlar, LLM'in taşıma görevleri sırasında kendi kendini kesmeleri, kararları ve 'kullanıcıya' (geliştiriciye) yapılan atıfları içeriyor. Bu durum, yapay zekanın botnet geliştirmede ne kadar derinlemesine kullanıldığını gösteriyor.

Uzmanların Görüşleri

TuxBot v3 Evolution henüz geliştirme aşamasında olsa da, çalışan temel fonksiyonları ve yapay zeka kullanımı, özelliklerin hızla entegre edildiğini ve tek bir geliştiricinin birden fazla C2 kanalı, özel exploit VM ve Go tabanlı DDoS kiralama paneli gibi çok yönlü bir araç seti oluşturmasını sağladığını gösteriyor. Unit 42, TuxBot operatörünün Kaitori v3.9 ve AISURU araçlarıyla paylaşılan altyapı nedeniyle Keksec ekosisteminde yer aldığını belirtiyor. Bu grup, paralel olarak birden fazla IoT botnet varyantı çalıştırmasıyla biliniyor. TuxBot, bu portföydeki başka bir varyant olarak görünüyor; şifreli C2, DGA ve modüler exploit sistemiyle sıradan bir Mirai çatalının ötesine geçmeyi hedefliyor, ancak bu sistem henüz kurtarılan sürümde çalışmıyor. Bu keşif, yönlendiricileri, IP kameraları, Android kutularını ve güvenliği zayıf sunucuları hedef alan RustDuck ve AryStinger adlı iki botnetin ortaya çıkmasının ardından geldi.

Kaynak: thehackernews.com

Paylaş: