**Botnet Mirai Explota Vulnerabilidad Sin Parches en Routers D-Link** Una nueva campaña de malware basada en **Mirai** está explotando activamente **CVE-2025-29635**, una vulnerabilidad de inyección de comandos de alta gravedad que afecta a routers **D-Link DIR-823X**, para incorporar dispositivos a la botnet. **CVE-2025-29635** permite a un atacante ejecutar comandos arbitrarios en dispositivos remotos enviando una solicitud POST a un endpoint vulnerable, lo que desencadena la ejecución remota de comandos (RCE). El SIRT de **Akamai**, que detectó la campaña de **Mirai** en marzo de 2026, informa que, aunque la falla fue divulgada por primera vez hace 13 meses por los investigadores de seguridad Wang Jinshuai y Zhao Jiangting, esta es la primera vez que se observa explotación activa en la naturaleza. "El SIRT de **Akamai** descubrió intentos de explotación activa de la vulnerabilidad de inyección de comandos de **D-Link** **CVE-2025-29635** en nuestra red global de honeypots a principios de marzo de 2026", se lee en el informe de **Akamai**. "Esta vulnerabilidad existe en los routers de la serie **D-Link DIR-823X** en las versiones de firmware 240126 y 24082, y permite a un atacante no autenticado ejecutar comandos arbitrarios en dispositivos remotos enviando una solicitud POST al endpoint /goform/set_prohibiting a través de la función correspondiente, lo que puede desencadenar la ejecución remota de comandos." Los investigadores que descubrieron la falla publicaron brevemente un exploit de prueba de concepto (PoC) en GitHub, pero luego lo retiraron. Las observaciones de **Akamai** muestran que los atacantes están enviando solicitudes POST que cambian directorios a través de rutas escribibles, descargan un script shell (dlink.sh) desde una IP externa y lo ejecutan.  *Fuente: Akamai* El script instala un malware basado en **Mirai** llamado "tuxnokill", que soporta múltiples arquitecturas. En términos de capacidades, presenta el repertorio estándar de ataques de denegación de servicio distribuido (DDoS) de **Mirai**, incluyendo TCP SYN/ACK/STOMP, inundaciones UDP y HTTP null. **Akamai** también ha descubierto que el actor de amenazas detrás de esta campaña también explota **CVE-2023-1389**, que afecta a routers **TP-Link**, y una falla RCE separada en routers **ZTE ZXV10 H108L**. El mismo patrón de ataque se observó en todos ellos, lo que llevó al despliegue de un payload de **Mirai**. Los dispositivos afectados llegaron al final de su vida útil (EoL) en noviembre de 2024, por lo que es probable que el firmware más reciente disponible para el modelo no aborde **CVE-2025-29635**. **D-Link** no hace excepciones cuando se detecta explotación activa, por lo que es poco probable que el proveedor proporcione un parche de corrección ahora. BleepingComputer se ha puesto en contacto con **D-Link** con preguntas sobre la actividad reportada y el estado de la corrección, y actualizaremos esta publicación tan pronto como recibamos respuesta. Mientras tanto, se recomienda a los usuarios de routers que han llegado al final de su vida útil que actualicen a un modelo más nuevo que disfrute de soporte activo con correcciones de seguridad frecuentes, desactiven los portales de administración remota si no son necesarios, cambien las contraseñas de administrador predeterminadas y monitoreen los cambios de configuración inesperados.