### Dispositivos TBK DVR Alvo via CVE-2024-3721 A **Fortinet** relata que atacantes estão utilizando a **CVE-2024-3721** (pontuação CVSS: 6.3), uma vulnerabilidade de injeção de comando, em dispositivos de gravação de vídeo digital **TBK DVR-4104** e **DVR-4216**. Essa falha permite a implantação de uma variante **Mirai** apelidada de **Nexcorium**. O pesquisador de segurança Vincent Li observou: "Dispositivos IoT são alvos cada vez mais primários para ataques em larga escala devido ao seu uso generalizado, falta de patching e configurações de segurança frequentemente fracas. Atores de ameaças continuam explorando vulnerabilidades conhecidas para obter acesso inicial e implantar malware que pode persistir, se espalhar e causar ataques de negação de serviço distribuído (DDoS). Essa vulnerabilidade já foi explorada anteriormente para implantar outras variantes **Mirai** e a botnet **RondoDox**. Em setembro de 2025, a **CloudSEK** revelou uma botnet loader-as-a-service distribuindo payloads **RondoDox**, **Mirai** e **Morte**. A cadeia de exploração envolve o uso da **CVE-2024-3721** para baixar e executar um script que busca o payload da botnet com base na arquitetura do sistema. Após a execução, o malware exibe "nexuscorp has taken control." ### Capacidades da Botnet Nexcorium O **Nexcorium** compartilha semelhanças arquiteturais com outras variantes **Mirai**, incluindo configuração codificada em XOR, um módulo watchdog e capacidades de ataque DDoS. O malware também explora a **CVE-2017-17215** para atingir dispositivos **Huawei HG532**. Ele emprega ainda uma lista de credenciais hard-coded para ataques de força bruta via Telnet. Logins bem-sucedidos levam ao acesso shell, configuração de persistência usando crontab e systemd, e conexão a um servidor externo para comandos DDoS (UDP, TCP e SMTP). O binário original baixado é então deletado para dificultar a análise. A **Fortinet** enfatiza que o **Nexcorium** exibe traços típicos de botnets IoT modernas, combinando exploração de vulnerabilidades, suporte multi-arquitetura e mecanismos de persistência. Seu uso de exploits conhecidos como **CVE-2017-17215** e amplas capacidades de força bruta aumentam seu alcance de infecção. ### Tentativas de Exploração de Vulnerabilidade em Roteador TP-Link (CVE-2023-33538) A **Unit 42** detectou varreduras ativas visando a **CVE-2023-33538** (pontuação CVSS: 8.8), uma vulnerabilidade de injeção de comando que afeta roteadores wireless **TP-Link** fora de linha. Embora os ataques observados tenham sido falhos, a vulnerabilidade subjacente é confirmada. Essa falha foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da **CISA** em junho de 2025 e afeta os seguintes modelos: * TL-WR940N v2 e v4 * TL-WR740N v1 e v2 * TL-WR841N v8 e v10 Os pesquisadores Asher Davila, Malav Vyas e Chris Navarrete da **Unit 42** afirmaram que a exploração bem-sucedida requer autenticação na interface web do roteador. Os ataques tentam implantar um malware de botnet semelhante ao **Mirai** referenciando "Condi". O malware pode se atualizar e atuar como um servidor web para espalhar a infecção. ### Mitigação e Recomendações Dado que os dispositivos **TP-Link** afetados não são mais suportados, os usuários devem substituí-los por modelos mais novos e evitar o uso de credenciais padrão. A **Unit 42** alerta que credenciais padrão em dispositivos IoT continuam sendo um risco de segurança significativo, transformando vulnerabilidades autenticadas em pontos de entrada críticos para atacantes.