**Botnet Mirai Explora Vulnerabilidade em Roteador D-Link Não Corrigida** Uma nova campanha de malware baseada em **Mirai** está explorando ativamente a **CVE-2025-29635**, uma vulnerabilidade de injeção de comando de alta severidade que afeta roteadores **D-Link DIR-823X**, para incluir dispositivos na botnet. A **CVE-2025-29635** permite que um atacante execute comandos arbitrários em dispositivos remotos enviando uma requisição POST para um endpoint vulnerável, desencadeando execução remota de comandos (RCE). O SIRT da **Akamai**, que detectou a campanha **Mirai** em março de 2026, relata que, embora a falha tenha sido divulgada pela primeira vez há 13 meses por pesquisadores de segurança Wang Jinshuai e Zhao Jiangting, esta é a primeira vez que exploração ativa em campo é observada. "O SIRT da **Akamai** descobriu tentativas de exploração ativa da vulnerabilidade de injeção de comando da **D-Link**, **CVE-2025-29635**, em nossa rede global de honeypots no início de março de 2026", afirma o relatório da **Akamai**. "Esta vulnerabilidade existe em roteadores da série **D-Link DIR-823X** nas versões de firmware 240126 e 24082, e permite que um atacante autorizado execute comandos arbitrários em dispositivos remotos enviando uma requisição POST para o endpoint /goform/set_prohibiting através da função correspondente, o que pode desencadear execução remota de comandos." Os pesquisadores que descobriram a falha publicaram brevemente um proof-of-concept (PoC) exploit no GitHub, mas o retiraram posteriormente. As observações da **Akamai** mostram que os atacantes estão enviando requisições POST que mudam diretórios em caminhos graváveis, baixam um script shell (dlink.sh) de um IP externo e o executam.  *Fonte: Akamai* O script instala um malware baseado em **Mirai** chamado "tuxnokill", que suporta múltiplas arquiteturas. Em termos de capacidades, ele apresenta o repertório padrão de ataque de negação de serviço distribuído (DDoS) do **Mirai**, incluindo TCP SYN/ACK/STOMP, UDP floods e HTTP null. A **Akamai** também descobriu que o ator de ameaça por trás desta campanha explora a **CVE-2023-1389**, que afeta roteadores **TP-Link**, e uma falha de RCE separada em roteadores **ZTE ZXV10 H108L**. O mesmo padrão de ataque foi observado em todos eles, levando à implantação de um payload **Mirai**. Os dispositivos afetados atingiram o fim de vida (EoL) em novembro de 2024, portanto, é provável que o firmware mais recente disponível para o modelo não corrija a **CVE-2025-29635**. A **D-Link** não faz exceções quando a exploração ativa é detectada, então é improvável que o fornecedor forneça um patch corretivo agora. O BleepingComputer contatou a **D-Link** com perguntas sobre a atividade relatada e o status da correção, e atualizaremos esta postagem assim que recebermos uma resposta. Enquanto isso, recomenda-se aos usuários de roteadores que atingiram o EoL que atualizem para um modelo mais novo que tenha suporte ativo com correções de segurança frequentes, desabilitem portais de administração remota se não forem necessários, alterem senhas de administrador padrão e monitorem por alterações de configuração inesperadas.