Netcrook Logo
👤 KERNELWATCHER
🗓️ 22 Apr 2026  

Fantasmi nel router: come la botnet Mirai sta ridando vita ai dispositivi D-Link morti

Una botnet tristemente nota sta sfruttando router domestici abbandonati, trasformando tecnologia obsoleta in un nuovo parco giochi per il cybercrimine.

Quando un dispositivo morto non è davvero morto? Per i criminali informatici, i router abbandonati sono solo giganti addormentati - inermi in attesa di essere rianimati in un esercito di zombie digitali. In una nuova, inquietante svolta, la famigerata botnet Mirai ha puntato i router D-Link fuori produzione, sfruttando una falla vecchia di un anno per arruolare hardware dimenticato nelle proprie file. Il risultato? Una minaccia silenziosa e tentacolare che potrebbe annidarsi nei salotti e nei piccoli uffici di tutto il mondo.

Fatti in breve

  • La botnet Mirai sta sfruttando CVE-2025-29635, una falla di command injection nei router D-Link della serie DIR-823X.
  • I router vulnerabili sono stati dismessi nel 2023 e non ricevono più aggiornamenti di sicurezza.
  • Gli attaccanti usano richieste POST appositamente costruite per iniettare codice malevolo, abilitando il controllo remoto del dispositivo.
  • Lo stesso codice di exploit era stato pubblicato in precedenza come proof-of-concept su GitHub.
  • D-Link invita tutti gli utenti a dismettere immediatamente i router interessati a causa dei rischi in corso.

L’anatomia di una minaccia dimenticata

Secondo una ricerca di Akamai, l’ultima campagna della botnet Mirai prende di mira una vulnerabilità specifica nei router D-Link della serie DIR-823X - modelli ufficialmente ritirati lo scorso anno. La falla, tracciata come CVE-2025-29635, consente agli attaccanti di iniettare comandi inviando richieste POST appositamente costruite. In sostanza, il firmware del router non valida correttamente determinati input, lasciando passare qualsiasi cosa inosservata fino al buffer dei comandi. Una volta dentro, il codice dell’attaccante può prendere il controllo del dispositivo.

Ciò che rende questa campagna particolarmente preoccupante è la sua dipendenza da dispositivi che non sono più supportati. Senza ulteriori aggiornamenti del firmware da parte di D-Link, i proprietari di questi router non hanno alcun modo ufficiale per correggere la falla - lasciando le loro reti esposte. Peggio ancora, l’exploit proof-of-concept era stato in precedenza disponibile su GitHub, offrendo agli aspiranti attaccanti un progetto già pronto (anche se il post originale è stato poi rimosso).

Il payload della botnet Mirai è classico nel suo approccio: uno script di shell scarica ed esegue malware che mostra i tratti rivelatori di Mirai - payload codificati con XOR, comandi di esecuzione hardcoded e indirizzi IP del downloader fissi. Non è la prima volta che Mirai va a caccia di prede IoT; Akamai osserva che gli attori della minaccia hanno preso di mira anche vulnerabilità nei router TP-Link e ZTE, dimostrando una persistente fame di dispositivi connessi a Internet e non patchati.

La bassa barriera d’ingresso per le operazioni di botnet - grazie al continuo riciclo del codice sorgente originale di Mirai - significa che persino hacker amatoriali possono partecipare. Gli incentivi economici sono evidenti: con un numero sufficiente di dispositivi compromessi, gli attaccanti possono lanciare attacchi DDoS su larga scala o affittare i loro “eserciti di bot” al miglior offerente.

Lezioni dal cimitero digitale

Il messaggio di D-Link è netto: se stai ancora usando questi router, stai giocando con il fuoco. Man mano che vecchie vulnerabilità diventano nuove opportunità per i criminali informatici, i pericoli di aggrapparsi a hardware non supportato sono più chiari che mai. Nel mondo della cybersicurezza, ciò che è obsoleto non scompare mai davvero - sta solo aspettando un nuovo padrone che lo risvegli.

TECHCROOK

Per ridurre il rischio di infezioni da botnet su router domestici obsoleti e non più patchati, una soluzione pratica è sostituire l’apparato con un router moderno dotato di aggiornamenti automatici e funzioni di sicurezza integrate. ASUS RT-AX58U (WiFi 6) è un router dual-band con supporto WPA3, firewall e protezione a livello di rete tramite AiProtection, utile per bloccare traffico malevolo e tentativi di compromissione tipici dei dispositivi IoT esposti. Offre gestione centralizzata via app, rete ospiti e controlli parentali, oltre a prestazioni adeguate per casa e piccoli uffici. È indicato come upgrade “sicuro” quando il produttore del vecchio router non rilascia più firmware. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da criminali informatici, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
  • Command Injection: La command injection è una vulnerabilità in cui gli attaccanti ingannano i sistemi inducendoli a eseguire comandi non autorizzati inserendo input malevoli in campi utente o interfacce.
  • Firmware: Il firmware è un software specializzato memorizzato nei dispositivi hardware, che ne gestisce le operazioni fondamentali e la sicurezza, consentendo loro di funzionare correttamente.
  • Proof: Un Proof-of-Concept (PoC) è una dimostrazione che mostra come una vulnerabilità di cybersicurezza possa essere sfruttata, aiutando a convalidare e valutare i rischi reali.
  • Codifica XOR: La codifica XOR è un semplice metodo di offuscamento dei dati che utilizza l’operazione XOR, spesso impiegato dal malware per nascondere il codice ed eludere gli strumenti di rilevamento della cybersicurezza.
Mirai botnet D-Link routers cybercrime
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news