Siber güvenlik araştırmacıları, daha önce rapor edilmemiş bir Nesnelerin İnterneti (IoT) botnet çerçevesi olan TuxBot v3 Evolution'ı ortaya çıkardı. Bu botnet, büyük bir dil modeli (LLM) yardımıyla geliştirilmiş olmasına rağmen, sonuçlar pek başarılı olmadı. Palo Alto Networks Unit 42, yapay zekanın botnet kodu oluşturma isteğine uyduğunu ancak geliştiricinin, AI'nın eklediği güvenlik uyarısını kaldırmayı unuttuğunu belirtti. Bu durum, botnetin bazı işlevlerinin düzgün çalışmamasına neden oldu.
Unit 42 analistleri, manuel bir kod incelemesinin bu hataları çözeceğini ve vahşi ortamda daha gelişmiş sürümlerin bulunabileceğini ifade etti. Botnet çerçevesi, birden fazla bileşenden oluşuyor: C tabanlı bir bot ajanı (ARM, MIPS, x86_64 gibi çoklu mimariler için çapraz derleme yapıyor), Go tabanlı bir komuta ve kontrol (C2) sunucusu (DDoS kiralama paneli içeriyor), özel bir istismar sanal makinesi, Docker tabanlı test altyapısı ve otomatik derleme sistemi.
Bot ajanı, hedef cihazlarda Telnet erişimini brute-force yapmak için 1.496 kimlik bilgisi çifti kullanıyor ve 30'dan fazla IoT cihaz ailesini hedef alan bilinen güvenlik açıklarını içeren istismar kodları barındırıyor. C2 sunucusuyla şifreli TCP kanalı üzerinden iletişim kurarken, SHA512 tabanlı alan adı üretim algoritması (DGA), eşler arası (P2P) gossip protokolü (Ed25519 imzalı komutlar), IRC, DNS TXT sorguları ve HTTP polling gibi yedek mekanizmalar kullanıyor.
Gelecekte Ne Bekleniyor?
Modüler çerçevenin kökeni Mirai, AISURU ve Wuhan gibi üç farklı botnete dayanıyor. Ayrıca açık kaynaklı MHDDoS Python DDoS aracından bazı işlevleri kısmen taşımış. En az bir örnek 20 Ocak 2026'da VirusTotal'a yüklendi, bu da botnetin altı aydan uzun süredir var olduğunu gösteriyor. Geliştirici, botnet üzerinde çalışmaya bir yıl önce MHDDoS deposunu GitHub'dan klonlayarak başlamış.
Go tabanlı C2 sunucusu, üç farklı TCP bağlantı noktası kullanıyor: 1999 (veya 31337) bağlı botlara şifreli komut göndermek için, 2222 operatörler için SSH üzerinden etkileşimli kabuk, 9999 ise programatik erişim için JSON arayüzü. Botnet başlatıldığında, önceden tanımlanmış bir başlatma sırası izliyor: C2 adresini yükleme (birincil kanal ve beş alternatif mekanizma ile çok katmanlı mimari), anti-debugging ve anti-VM korumaları kurma, süreç adını gizleme, kalıcılık sağlama ve alt modülleri başlatma (DDoS saldırıları, rakip süreçleri sonlandırma, IRC/HTTP/DNS/P2P üzerinden C2 kanalları, Telnet/SSH/HTTP/ADB tarayıcıları, SOCKS5 proxy ve kripto para madenciliği yer tutucusu).
Özel HTTP tarayıcı, aynı anda 128 eşzamanlı bağlantıyı yönetebiliyor ve güvenlik açığı olan web arayüzlerini keşfetmeyi hedefliyor. Kalıcılık, systemd hizmeti, cron girişleri ve bir watchdog işlemi ile sağlanıyor. Unit 42, birçok dosyada LLM'nin ham düşünce zinciri muhakemesinin yorum satırlarında bırakıldığını tespit etti. Bu yorumlar, LLM'nin taşıma görevleri sırasında kendi kendine kesintiler, kararlar ve 'kullanıcı'ya (geliştirici) referanslar içeriyor.
TuxBot v3 Evolution henüz geliştirme aşamasında olsa da, çalışan temel işlevler ve AI kullanımı, özelliklerin hızla entegre edildiğini gösteriyor. Tek bir geliştiricinin, birden fazla C2 kanalı, özel istismar VM'si ve Go tabanlı DDoS kiralama paneli ile çok yönlü bir araç seti oluşturmasına olanak tanıyor. Unit 42, TuxBot operatörünün Kaitori v3.9 ve AISURU araçlarıyla paylaşılan altyapı sayesinde Keksec ekosisteminde yer aldığı sonucuna vardı. Bu grup, paralel olarak birden fazla IoT botnet varyantı işletmesiyle biliniyor. TuxBot, şifreli C2, DGA ve modüler istismar sistemi ile sıradan bir Mirai fork'unun ötesine geçmeyi hedefliyor, ancak kurtarılan sürümde bu sistem henüz çalışmıyor.
Kaynak: thehackernews.com