Botnet Ballista explora falha em roteadores TP-Link, infectando mais de 6.000 dispositivos
Uma nova botnet, Ballista, está explorando uma vulnerabilidade de alta gravidade (CVE-2023-1389) em roteadores TP-Link Archer AX-21 sem patch, infectando mais de 6.000 dispositivos. A vulnerabilidade permite execução remota de código, permitindo que a Ballista se espalhe automaticamente por meio de injeção de comando. A botnet tem como alvo organizações de manufatura, saúde, serviços e tecnologia, principalmente no Brasil, Polônia, Reino Unido, Bulgária e Turquia, mas também afetando os EUA, Austrália, China e México. A Ballista usa um dropper de malware e um script shell para executar seu binário principal, estabelecendo um canal C2 para controlar dispositivos infectados e realizar ataques DoS e leitura de arquivos confidenciais. Os pesquisadores suspeitam de uma origem italiana, mas o uso de redes Tor sugere desenvolvimento contínuo e técnicas ativas de evasão.