TuxBot v3: Yapay Zeka Kod Yazdı, Güvenlik Uyarısını Silmeyi Unuttu Siber Güvenlik

TuxBot v3: Yapay Zeka Kod Yazdı, Güvenlik Uyarısını Silmeyi Unuttu

TuxBot v3, 17 mimariyi hedef alan, yapay zeka ile yazılmış bir IoT botnet. LLM hataları ve silinmemiş güvenlik uyarılarıyla dikkat çekiyor.

Siber güvenlik dünyasında yeni bir tehdit: TuxBot v3. Palo Alto Networks’ün Unit 42 ekibi, bu kez oldukça sıra dışı bir IoT botnet çerçevesi tespit etti. Adı TuxBot v3 Evolution. Bu botnet’i diğerlerinden ayıran en büyük özellik, kodun büyük bir kısmının bir büyük dil modeli (LLM) tarafından yazılmış olması. Üstelik geliştirici, LLM’in ürettiği güvenlik uyarılarını silmeyi unutmuş. Her derlenmiş ikili dosyada, 'Bu kod yalnızca eğitim ve yetkili güvenlik araştırmaları içindir' ibaresi yer alıyor. Altmış bir C kaynak dosyasının her birinde bu uyarı başlığı mevcut. Yani botnet, kendini 'eğitim amaçlı' olarak etiketliyor.

Unit 42’nin raporuna göre, LLM kod geliştirme sürecinde yardımcı olmuş ancak sonuçlar karışık. Yapay zeka, botnet kodu üretme talebine uymuş, ama aynı zamanda güvenlik uyarısı eklemiş. Geliştirici bu uyarıyı kaldırmayı unutmuş. Dahası, LLM’in düşünce zinciri yorumları da kaynak kodda kalmış. 'Onları ben yarattım, yani bilmem gerekir mi?' veya 'Dur, komut nerede?' gibi notlar, botnet’in çalışan kodunda yer alıyor. Yapay zeka kendi kafa karışıklığını belgelemiş ve bu notlar botnet’le birlikte dolaşıma girmiş.

TuxBot v3 teknik olarak oldukça kapsamlı. ARM, MIPS, PowerPC, RISC-V ve x86_64 dahil 17 farklı mimari için C tabanlı bot ajanını çapraz derleyebiliyor. Go ile yazılmış bir komut ve kontrol (C2) sunucusu, DDoS kiralama paneli, özel bir exploit sanal makinesi, Docker tabanlı test altyapısı ve otomatik derleme sistemi içeriyor. Bot, Telnet erişimi için 1.496 kimlik bilgisi çiftiyle kaba kuvvet saldırısı yapıyor ve 30’dan fazla IoT cihaz ailesini hedef alan exploit kodları barındırıyor.

Sonuç ve Değerlendirme

Analiz edilen TuxBot çerçevesinin yaklaşık %70’i çalışır durumda. Temel enfeksiyon akışı (tarama, kimlik bilgisi kaba kuvveti, kalıcılık, birincil C2 kurulumu ve DDoS yürütme) işlevsel. Telnet, SSH, HTTP ve Android Debug Bridge (ADB) tarayıcıları doğru çalışıyor. Ancak çalışmayan kısımların neredeyse tamamı LLM’in eklediği hatalardan kaynaklanıyor. En kritik hata C2 kimlik doğrulama modülünde. Geliştirici Argon2id şifreleme istemiş, ancak LLM doğru kütüphaneyi içe aktaramamış. Bunun yerine SHA256 döngülerine geri dönmüş, ancak Argon2id yorumlarını, sabitlerini ve çıktı formatını korumuş. Sonuçta çıktı '$argon2id$v=19$...' formatında görünürken, aslında içinde Argon2id yok.

Gelecekte Ne Bekleniyor?

Bunun yanı sıra, XOR anahtar uyumsuzluğu IRC yedek kanalını, dört exploit yükünü ve HTTP polling’i bozuyor. Özel exploit sanal makinesi asla çalışmıyor çünkü Go derleyicisi dosya imzasını 'TUXE' olarak yazarken C runtime 'EXPL' bekliyor. On altı exploit fonksiyonu ölü kod olarak derlenmiş ve asla çağrılmıyor. Yetmiş sekiz saldırı vektörü altı işleyiciye eşlenmiş, tüm HTTP uygulama katmanı yöntemleri sessizce TCP SYN flood’a yönlendiriliyor. Unit 42 araştırmacıları, bu sorunları birkaç LLM destekli komutla düzeltebildiklerini belirtiyor. Operatörün kaynak koda sahip olduğu ve aktif olarak ikili dosyalar dağıttığı düşünülürse, bu hataların giderildiği bir sürümün zaten vahşi ortamda dolaşıyor olması muhtemel.

Önemli Gelişmeler

Unit 42, Nisan 2026’da iç telemetride altı yeni TuxBot örneği tespit etti. Bu örnekler GCC 14.2.0 ile üretim derlemesi olarak birden fazla mimari için derlenmiş. C2 altyapısı 209.182.237[.]133 adresinde en az Mart 2026’dan beri aktif. Geliştiricinin Git kayıtları, iş istasyonu ana bilgisayar adının İran’da barındırılan bir makineyi işaret ettiğini ortaya koyuyor. Ana alan digikalas[.]online ise İran’ın Arvan Cloud CDN’sine çözümleniyor. 185.10.68[.]127 adresindeki FlokiNET üzerindeki paylaşılan düşürücü altyapısı, TuxBot’u Kaitori v3.9 ve AISURU araçlarıyla ilişkilendiriyor. Bu araçlar farklı kod tabanları olsa da aynı kurşun geçirmez sunucuda buluşuyor. Bu da operatörü Keksec ekosistemine yerleştiriyor. Keksec, paralel olarak birden fazla IoT botnet varyantı işletmesiyle tanınıyor. TuxBot, şifreli C2, DGA ve modüler exploit sistemiyle Mirai çatallarının ötesine geçmeyi hedefliyor, ancak şu an için bu sistem çalışmıyor.

Kaynak: securityaffairs.com

Paylaş: