5 giugno 2026 — È attiva una nuova variante della famiglia botnet Gafgyt, denominata C0XMO, che espande il proprio footprint su dispositivi Linux sfruttando una vulnerabilità nel firmware DD-WRT nota dal 2021. Secondo il report citato da GBHackers e attribuito a FortiGuard Labs, l'operatore consegna il payload tramite pacchetti UDP M-SEARCH con valori ST:uuid: sovradimensionati, sfruttando lo stack buffer overflow nel parser UPnP SSDP di CVE-2021-27137. Il bersaglio immediato documentato è una tecnologia firm giapponese, con infezione originata da IP in Germania.
- C0XMO è una variante Gafgyt che sfrutta CVE-2021-27137 nel firmware DD-WRT per infiltrarsi in router Linux-based
- L'architettura separa il bot binary, compilato per 7 architetture CPU, da uno scanner Python indipendente ospitato su server esterno
- La persistenza si attiva in 4 stadi: auto-copia in percorsi nascosti, modifica permessi, cron job ogni 15 minuti, modifica file profilo
- C0XMO implementa routine di competitor-removal: enumera /proc, termina processi in blacklist ed elimina binari di altre famiglie malware
- Il bot supporta 19 metodi DDoS e verifica PID e nome eseguibile per evitare auto-eliminazione
La vulnerabilità CVE-2021-27137: vector d'ingresso su DD-WRT
CVE-2021-27137 è uno stack buffer overflow nel parser UPnP SSDP del firmware DD-WRT. L'exploitation avviene tramite pacchetti UDP M-SEARCH con valori ST:uuid: sovradimensionati, che sovrascrivono la memoria del processo vulnerabile. Questo vector permette l'esecuzione remota di codice su router esposti, tipicamente quelli con servizio UPnP attivo su interfacce WAN o segmenti di rete accessibili.
Il report citato da GBHackers documenta un caso concreto: una tecnologia firm giapponese è risultata bersaglio, con traffico di infezione originato da un IP in Germania. Questo pattern geograficamente distribuito è coerente con l'operatività di botnet che sfruttano infrastrutture C2 posizionate in giurisdizioni diverse dal target finale.
Architettura modulare: bot binary e scanner separati
L'analisi citata da GBHackers descrive un'architettura che differisce dal modello monolitico tradizionale dei botnet IoT. Il bot binary, compilato per ARM, MIPS, PowerPC, SuperH, MC68000, Intel 80386 e AMD64, gestisce persistenza, processi e comunicazione C2. La discovery e il lateral movement sono affidati a uno scanner Python ospitato su 217[.]160[.]125[.]125:15527, che richiede pacchetti requests, paramiko e beautifulsoup4.
"Il main bot binary si concentra sulla persistenza, gestione processi e interazione C2, mentre uno scanner Python indipendente gestisce discovery e lateral movement"
Lo scanner include circa 22 funzioni organizzate in worker, blacklist, Telnet, SSH, HTTP exploit e ADB exploit. I vettori HTTP coprono CVE-2021-27137 (UPnP SOAP injection su DD-WRT), CVE-2022-35914 (GLPI) e CVE-2025-34054 (AVTECH), oltre ad altri meccanismi non specificati nel report. La fonte non specifica se questa separazione architetturale rappresenti un'innovazione rispetto a varianti Gafgyt precedenti.
La persistenza a quattro stadi e il controllo dispositivo
Una volta eseguito, C0XMO attiva una sequenza di persistenza strutturata in quattro fasi. Il binary si auto-copia in percorsi nascosti, modifica i permessi per limitare accessi esterni, installa un cron job che si attiva ogni 15 minuti e modifica i file profilo per garantire esecuzione anche dopo riavvio.
La comunicazione con i server di comando e controllo avviene tramite handshake personalizzato con magic strings fisse e secret condiviso; il bot si identifica come BOT. I C2 identificati sono 85[.]215[.]131[.]70 e 217[.]160[.]125[.]125, quest'ultimo anche host dello scanner Python.
Il bot supporta 19 metodi DDoS, che spaziano da UDP/TCP flood e SYN attacks all'amplificazione NTP/memcached, fino a HTTPStorm, Valve Source Engine e Discord voice floods. La varietà di primitive indica un arsenale progettato per adattarsi a diverse condizioni di rete e obiettivi di attacco.
Competitor-killing: la guerra per le risorse dei dispositivi compromessi
Il tratto distintivo più aggressivo di C0XMO è la routine di competitor-removal. Il malware enumera la directory /proc, confronta i nomi dei processi con una blacklist interna e, in caso di corrispondenza, termina immediatamente il processo. Successivamente elimina i binari e gli artefatti di persistenza legati ad altre famiglie malware. Il bot verifica PID e nome eseguibile per evitare l'auto-eliminazione.
Questo comportamento segnala un mercato criminale maturo, dove la competizione per le risorse computazionali dei dispositivi compromessi si è fatta diretta. Il dispositivo infettato diventa territorio da monopolizzare, non semplice risorsa da condividere. Se la routine competitor-killing sia innovazione propria di C0XMO o eredità da varianti Gafgyt precedenti non è documentato nel brief.
Cosa fare adesso
Gli operatori di rete che gestiscono dispositivi con firmware DD-WRT devono verificare lo stato di aggiornamento del proprio parco installato, con particolare attenzione al servizio UPnP SSDP esposto su UDP. La fonte non specifica se CVE-2021-27137 sia stata patchata in tutte le versioni DD-WRT vulnerabili.
La presenza dello scanner su 217[.]160[.]125[.]125:15527 e l'uso di pacchetti Python requests, paramiko e beautifulsoup4 sono elementi rilevabili per chi dispone di visibilità di rete adeguata. Il brief non documenta indicatori di compromissione pubblici oltre gli hash forniti, né quantifica la dimensione attuale del botnet C0XMO.
Non è identificato l'attore threat specifico dietro l'operazione, e l'attribuzione a FortiGuard Labs rimane mediata dal report citato da GBHackers, senza accesso verificabile al documento originale. La fonte non specifica la natura dei dati esposti sui dispositivi compromessi, né se esistano versioni DD-WRT immune al vettore UPnP SSDP documentato.
Lettura: un ecosistema in evoluzione
Il modello architetturale di C0XMO — separazione tra core compilato e scanner scriptato — abbassa il costo di adattamento a nuove vulnerabilità. L'operatore può estendere il raggio d'azione aggiornando il modulo Python, senza ricompilare per sette architetture. Questa flessibilità, combinata con la routine di competitor-killing, indica che i botnet IoT stanno entrando in una fase di specializzazione e competizione che richiede monitoraggio più granulare della superficie di attacco router-level.
La varietà di architetture supportate — sette in totale — riflette l'intenzione di massimizzare il footprint su dispositivi embedded eterogenei, da router domestici a sistemi industriali legacy. La capacità di C0XMO di eliminare malware concorrenti e consolidare il controllo esclusivo sul dispositivo rappresenta un'escalation nella logica di competizione tra operatori di botnet, dove la persistenza non è più sufficiente: è necessaria la supremazia.
Le informazioni sono basate sul report citato da GBHackers e aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://cvefeed.io/newsroom/latest
- https://gbhackers.com/gafgyt-variant-targets-linux/
- https://nvd.nist.gov/vuln/detail/CVE-2025-20393
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments