Siber güvenlik araştırmacıları, daha önce raporlanmamış bir Nesnelerin İnterneti (IoT) botnet çerçevesi olan TuxBot v3 Evolution'ı açıkladı. Palo Alto Networks Unit 42 ekibine göre, bu botnet büyük bir dil modeli (LLM) yardımıyla geliştirilmiş olsa da, sonuçlar pek başarılı değil. Araştırmacılar, yapay zekanın botnet kodu üretme talebini yerine getirdiğini ancak geliştiricinin, AI'nın eklediği güvenlik uyarısını kaldırmayı unuttuğunu ve bu nedenle botnet'in bazı işlevlerinin düzgün çalışmadığını belirtiyor.
TuxBot v3, C tabanlı bir bot ajanı, Go tabanlı bir komuta ve kontrol (C2) sunucusu, özel bir sömürü sanal makinesi, Docker tabanlı test altyapısı ve otomatik bir derleme sistemi gibi çok sayıda bileşenden oluşuyor. Bot ajanı, hedef cihazlara Telnet erişimi için 1.496 kimlik bilgisi çiftiyle kaba kuvvet saldırısı yapabiliyor ve 30'dan fazla IoT cihaz ailesine yönelik bilinen güvenlik açıklarını hedef alan sömürü kodlarını içeriyor. İletişim, şifreli bir TCP kanalı üzerinden sağlanırken, SHA512 tabanlı alan adı üretme algoritması, Ed25519 imzalı eşler arası gossip protokolü, IRC, DNS TXT sorguları ve HTTP yoklaması gibi yedek mekanizmalar da kullanılıyor.
Botnet'in kökeni, Mirai, AISURU ve Wuhan gibi üç farklı botnet'e dayanıyor. Ayrıca, açık kaynaklı MHDDoS Python DDoS araç takımından bazı işlevler kısmen taşınmış. Bir örnek 20 Ocak 2026'da VirusTotal'a yüklenmiş ve bu, botnet'in en az altı aydır var olduğunu gösteriyor. Çalışmaların bir yıl önce, geliştiricinin MHDDoS deposunu GitHub'dan klonlamasıyla başladığı düşünülüyor. TuxBot geliştiricisi, 'profesyonel düzeyde' bir C2 platformu oluşturduğunu iddia ediyor; çok kullanıcılı yönetici paneli, otomatik dağıtım ve modüler saldırı yetenekleri sunuyor.
C2 sunucusu, gelen bağlantılar için üç farklı TCP bağlantı noktası kullanıyor: 1999 (veya 31337) şifreli komut dağıtımı, 2222 SSH üzerinden etkileşimli kabuk, 9999 ise JSON arayüzüyle programatik erişim. Botnet başlatıldığında, önceden tanımlanmış bir başlatma sırası izliyor: C2 adresini çok katmanlı bir mimariden yükleme, hata ayıklama ve sanal makine karşıtı korumalar kurma, işlem adını gizleme, kalıcılık sağlama, DDoS saldırıları başlatma, rakip süreçleri sonlandırma, IRC/HTTP/DNS/P2P üzerinden C2 kanalları oluşturma, Telnet/SSH/HTTP/ADB tarayıcıları çalıştırma, SOCKS5 proxy başlatma ve kripto para madenciliği yedek işlemi gerçekleştirme.
Unit 42 araştırmacıları, birden fazla dosyada LLM'nin ham düşünce zinciri muhakemesinin yorum satırlarında bırakıldığını tespit etti. Bu yorumlar, LLM'nin taşıma görevleri sırasında içsel muhakemesini, kendini kesmelerini, kararlarını ve 'kullanıcı'ya (geliştirici) yapılan atıfları içeriyor. TuxBot v3 hala geliştirme aşamasında olsa da, çalışan temel işlevler ve yapay zeka kullanımı, özelliklerin hızla entegre edildiğini ve tek bir geliştiricinin çok yönlü bir araç seti oluşturmasına olanak tanıdığını gösteriyor.
Araştırmacılar, TuxBot operatörünün Kaitori v3.9 ve AISURU araçlarıyla paylaşılan altyapı nedeniyle Keksec ekosisteminin bir parçası olduğunu belirtiyor. Bu grup, paralel olarak birden fazla IoT botnet varyantını çalıştırmasıyla biliniyor. TuxBot, bu portföydeki başka bir varyant olarak görünüyor; şifreli C2'si, DGA'sı ve modüler sömürü sistemiyle Mirai çatallarının ötesine geçmeyi hedefliyor, ancak kurtarılan sürümde bu sistem henüz çalışmıyor. Bu keşif, yönlendiricileri, IP kameraları, Android kutularını ve güvenliği zayıf sunucuları hedef alan RustDuck ve AryStinger botnet'lerinin ortaya çıkmasının ardından geldi.
Kaynak: thehackernews.com