Kampanye malware baru berbasis Mirai secara aktif mengeksploitasi CVE-2025-29635, kerentanan injeksi perintah dengan tingkat keparahan tinggi yang memengaruhi router D-Link DIR-823X, untuk memasukkan perangkat ke dalam botnet.
CVE-2025-29635 memungkinkan penyerang menjalankan perintah sewenang-wenang pada perangkat jarak jauh dengan mengirimkan permintaan POST ke titik akhir yang rentan, memicu eksekusi perintah jarak jauh (RCE).
SIRT Akamai, yang mendeteksi kampanye Mirai pada bulan Maret 2026, melaporkan bahwa, meskipun kelemahan tersebut pertama kali diungkapkan 13 bulan yang lalu oleh peneliti keamanan Wang Jinshuai dan Zhao Jiangting, ini adalah pertama kalinya eksploitasi aktif di alam liar diamati.
“Akamai SIRT menemukan upaya eksploitasi aktif terhadap kerentanan injeksi perintah D-Link CVE-2025-29635 di jaringan honeypot global kami pada awal Maret 2026,” membaca laporan Akamai.
“Kerentanan ini ada di router seri D-Link DIR-823X dalam versi firmware 240126 dan 24082, dan memungkinkan penyerang resmi untuk mengeksekusi perintah sewenang-wenang pada perangkat jarak jauh dengan mengirimkan permintaan POST ke titik akhir /goform/set_prohibiting melalui fungsi yang sesuai, yang dapat memicu eksekusi perintah jarak jauh.”
Para peneliti yang menemukan kelemahan tersebut secara singkat menerbitkan eksploitasi bukti konsep (PoC) di GitHub, tetapi kemudian mencabutnya.
Pengamatan Akamai menunjukkan penyerang mengirimkan permintaan POST yang mengubah direktori di seluruh jalur yang dapat ditulis, mengunduh skrip shell (dlink.sh) dari IP eksternal, dan menjalankannya.
Sumber: Akamai
Skrip tersebut menginstal malware berbasis Mirai bernama “tuxnokill”, yang mendukung banyak arsitektur.
Dalam hal kemampuan, ia menampilkan repertoar serangan penolakan layanan terdistribusi (DDoS) standar Mirai, termasuk TCP SYN/ACK/STOMP, banjir UDP, dan HTTP null.
Akamai juga menemukan bahwa pelaku ancaman di balik kampanye ini juga mengeksploitasi CVE-2023-1389, yang berdampak pada router TP-Link, dan kelemahan RCE terpisah pada router ZTE ZXV10 H108L. Pola serangan yang sama terjadi pada semuanya, yang mengarah pada penyebaran muatan Mirai.
Perangkat yang terkena dampak telah mencapai akhir masa pakainya (EoL) pada bulan November 2024jadi kemungkinan firmware terbaru yang tersedia untuk model tersebut tidak membahas CVE-2025-29635. D-Link tidak membuat pengecualian ketika eksploitasi aktif terdeteksi, jadi kecil kemungkinannya vendor akan memberikan patch perbaikan sekarang.
BleepingComputer telah menghubungi D-Link dengan pertanyaan tentang aktivitas yang dilaporkan dan status perbaikannya, dan kami akan memperbarui postingan ini segera setelah kami mendengarnya kembali.
Sementara itu, pengguna router yang telah mencapai EoL disarankan untuk meningkatkan ke model yang lebih baru yang menikmati dukungan aktif dengan perbaikan keamanan yang sering, menonaktifkan portal administrasi jarak jauh jika tidak diperlukan, mengubah kata sandi admin default, dan memantau perubahan konfigurasi yang tidak terduga.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
