Uma nova campanha envolvendo a variante Mirai chamada Nexcorium está explorando a CVE-2024-3721 para comprometer gravadores digitais TBK e transformá-los em nós de uma botnet voltada a ataques distribuídos de negação de serviço.
A atividade reforça a pressão sobre dispositivos IoT frequentemente negligenciados em ambientes corporativos, varejo e pequenas operações.
A falha atinge os modelos TBK DVR-4104 e DVR-4216 e foi descrita como uma vulnerabilidade de injeção de comandos no sistema operacional por meio da manipulação de argumentos mdb e mdc.
Na prática, isso permite que atacantes remotos entreguem um script inicial responsável por baixar e executar o malware conforme a arquitetura do equipamento comprometido.
Os artefatos observados mostram que o downloader recupera amostras com nomes iniciados em “nexuscorp”, altera as permissões para execução e ativa a carga maliciosa com parâmetros ligados ao tipo de dispositivo explorado.
Após o início da infecção, a amostra exibe a mensagem de que o equipamento foi assumido, um indício de campanha relativamente barulhenta, mas funcional.
A análise do código aponta forte semelhança estrutural com a linhagem Mirai, incluindo configuração ofuscada por XOR, módulo watchdog e componentes dedicados a ataques DDoS.
O malware também inclui recursos para varrer novos alvos, testar credenciais padrão via Telnet e expandir o alcance da infecção para outros dispositivos vulneráveis.
No estágio operacional, a botnet suporta vários vetores de DDoS, como UDP flood, TCP SYN flood, ACK flood, PSH flood e VSE query flood, recebendo comandos de um servidor de controle central.
Esse repertório dá ao grupo capacidade para lançar campanhas volumétricas e diversificar o padrão de tráfego malicioso conforme o alvo.
