Le botnet Ballista exploite une faille dans les routeurs TP-Link, infectant plus de 6 000 appareils
Un nouveau botnet, Ballista, exploite une vulnérabilité de haute gravité (CVE-2023-1389) dans les routeurs TP-Link Archer AX-21 non patchés, infectant plus de 6 000 appareils. La vulnérabilité permet l'exécution de code à distance, permettant à Ballista de se propager automatiquement par injection de commande. Le botnet cible les organisations de fabrication, de santé, de services et de technologie, principalement au Brésil, en Pologne, au Royaume-Uni, en Bulgarie et en Turquie, mais aussi aux États-Unis, en Australie, en Chine et au Mexique. Ballista utilise un dropper de malware et un script shell pour exécuter son binaire principal, établissant un canal C2 pour contrôler les appareils infectés et effectuer des attaques par déni de service et la lecture de fichiers sensibles. Les chercheurs suspectent une origine italienne, mais l'utilisation de réseaux Tor suggère un développement continu et des techniques d'évasion actives.