Yeni Bir Tehdit: TuxBot v3 Evolution
Cybersecurity araştırmacıları, daha önce bildirilmemiş bir İnternet-of-Things (IoT) botnet çerçevesi olan TuxBot v3 Evolution‘ı duyurdular. Bu yeni botnetin geliştirilmesinde, büyük bir dil modelinin (LLM) yardımıyla bilgi ediniminden faydalanıldığı, ancak sonuçların pek tatmin edici olmadığı rapor edilmiştir.
Saldırı Nasıl Çalışıyor?
Palo Alto Networks Unit 42, “Yapay zeka, botnet kodunu üretme isteğine uydu fakat geliştirici, gönderimden önce bir güvenlik uyarısını kaldırmayı başaramadı,” açıklamasında bulundu. Yapılan incelemelere göre, analiz edilen örneklerdeki bazı işlevler hatalı çalışmakta. Bu hataların manuel bir kod gözden geçirmesi ile çözülebileceği ve geliştirilmiş sürümlerinin piyasada bulunabileceği ifade ediliyor.
TuxBot’in botnet çerçevesi, birden fazla bileşenden oluşmaktadır:
– C tabanlı bir bot ajansı, çeşitli mimarilerde (ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC, RISC-V) çapraz derleme yapabilmektedir.
– Go tabanlı bir komut ve kontrol (C2) sunucusu, kiralık DDoS paneli ve özel bir istismar sanal makinesi.
– Docker tabanlı test altyapısı ve otomatik bir derleme sistemi.
Bot ajansı, hedef cihazlarda Telnet erişimini kırmak için 1,496 kimlik bilgisi çiftini kullanmaktadır. Ayrıca, 30’dan fazla IoT cihaz ailesine yönelik bilinen güvenlik açıklarını hedef alan istismar kodları içermektedir. C2 sunucusuyla, şifreli bir TCP kanalı üzerinden iletişim kurmakta ve ağa bağlı cihazlarla güvenli bir bağlantı sağlamak için SHA512 alan üretim algoritması (DGA), eşler arası (P2P) gossip protokolü ve diğer alternatif mekanizmalar kullanmaktadır.
Etkilenen Sistemler
TuxBot çerçevesinin kökleri, Mirai, AISURU ve Wuhan gibi üç farklı botnete dayandırılmaktadır. Ayrıca, bazı işlevleri açık kaynak kodlu MHDDoS Python DDoS aracı‘ndan kısmen taşınmıştır. Zararlı yazılım örneği, 20 Ocak 2026’da VirusTotal platformuna yüklenmiş olup, bu durum botnetin altı aydan fazla bir süredir aktif olduğunu göstermektedir.
Geliştirici, “profesyonel düzeyde bir C2 çerçeve platformu” inşa ettiğini belirtmektedir. Bu platformun, çok kullanıcılı bir yönetim paneline, otomatik dağıtım özelliklerine ve modüler saldırı yeteneklerine sahip olduğu ifade edilmektedir.
C2 sunucusu, gelen bağlantılar için üç farklı TCP portu kullanmaktadır:
- TCP port 1999 (veya 31337), aktif botlara şifreli komut gönderimi için kullanılmaktadır.
- TCP port 2222, operatörlere SSH üzerinden etkileşimli bir shell sunmaktadır.
- TCP port 9999, programatik erişim sağlamak için JSON arayüzü kullanmaktadır.
Çözüm ve Korunma
TuxBot botneti, başlatıldığında önceden tanımlanmış bir başlangıç dizisine göre bir dizi işlemi gerçekleştirmektedir:
- C2 adresini çok katmanlı bir mimariden yüklemek.
- Açıklama ve anti-VM korumaları kurmak.
- İşlem adını gizlemek.
- Kalıcılık sağlamak.
- DDoS saldırılarını başlatmak, rakip süreçleri sonlandırmak ve C2 kanalları kurmak.
Özellikle, HTTP tarayıcısı, belirli bir anda 128 eşzamanlı bağlantıyı yönetebilmekte ve hedef web arayüzlerini tespit etmek amacıyla çalışmaktadır. Kalıcılık, systemd servisi, cron girişleri ve bir izleme süreç ile sağlanmaktadır.
Sonuç
TuxBot v3 Evolution geliştirilme aşamasında olsa da, temel işlevselliği ve yapay zeka bağımlılığı, özelliklerin hızla entegrasyonunu işaret etmektedir. Bu durumda, güvenlik uzmanları için gerekli önlemleri almak oldukça önemlidir. Okuyucularımızın, etkilenebilecek cihazları güncellemeleri, standart olarak gizli portları kapatmaları ve bilinen güvenlik açıklarını kontrol etmeleri şiddetle tavsiye edilmektedir.


