Netcrook Logo
👤 TRUSTBREAKER
🗓️ 18 Apr 2026  

Backdoor Botnet: Come i router TP-Link obsoleti stanno alimentando la prossima ondata di Mirai

I cybercriminali stanno sfruttando vecchie vulnerabilità dei router TP-Link e password deboli per dirottare le reti domestiche e condurre attacchi botnet su larga scala.

A tarda notte, il tuo router Wi‑Fi ronza piano in un angolo - invisibile, non aggiornato e, in silenzio, pronto a diventare un soldato semplice in un esercito globale del cybercrimine. In tutto il mondo, gli hacker stanno prendendo di mira i router TP-Link dimenticati, sfruttando un difetto pericoloso e un’abitudine diffusissima: non cambiare mai la password predefinita.

Dentro l’attacco: dal difetto alla botnet

I ricercatori di sicurezza hanno lanciato l’allarme: un’ondata di attacchi informatici sta prendendo di mira router TP-Link obsoleti tramite una vulnerabilità nota, tracciata come CVE-2023-33538. Il difetto, presente nell’interfaccia web dei modelli più datati, consente agli aggressori di iniettare comandi malevoli se riescono prima ad accedere come amministratore.

Come stanno sfruttando tutto questo gli hacker? Scansionando internet alla ricerca di dispositivi esposti, poi tempestandoli con richieste HTTP appositamente costruite. Se la password admin del router non è stata cambiata rispetto a quella predefinita, l’attaccante effettua semplicemente il login - senza bisogno di brute force. Il passo successivo: inviare un comando che scarica ed esegue un payload malware basato su Mirai.

Una volta infettato, il router si collega a un server remoto di command-and-control, in attesa di ordini. Questi dispositivi compromessi possono essere organizzati in enormi “botnet” - reti di macchine dirottate che lanciano attacchi di distributed denial-of-service (DDoS) o diffondono malware verso nuovi bersagli. Il malware Mirai, tristemente noto per aver messo fuori uso importanti siti web nel 2016, continua a evolversi e a prosperare grazie all’hardware trascurato.

Non tutti gli hacker hanno successo - ma il pericolo resta

I ricercatori di Palo Alto Networks hanno osservato che non tutti gli attacchi vanno a buon fine. Alcuni script sono scritti male, prendono di mira impostazioni errate o si basano su strumenti mancanti. Ma il rischio di fondo è reale: un singolo exploit ben costruito, abbinato a credenziali valide, può dare a un attaccante il pieno controllo del router - e, di conseguenza, un punto d’appoggio nella tua rete.

Ancora più preoccupante, molti dei router coinvolti hanno raggiunto la fine del ciclo di vita e non ricevono più patch di sicurezza. Il loro uso continuato, unito a login predefiniti mai cambiati, crea la tempesta perfetta per i cybercriminali che vogliono assemblare la prossima grande botnet.

Difesa: pochi passi, grande impatto

La soluzione, dicono gli esperti, è semplice ma spesso ignorata: sostituire i router obsoleti, cambiare le password di fabbrica con combinazioni robuste e uniche e disattivare, quando possibile, le interfacce di gestione remota. Queste misure di base possono impedire che la tua rete domestica venga arruolata al servizio del cybercrimine.

Man mano che il mondo digitale diventa più complesso, gli anelli più deboli sono spesso quelli che dimentichiamo. Nella guerra per la sicurezza di internet, persino un umile router di casa può diventare un’arma potente - o una responsabilità critica.

TECHCROOK

Per ridurre il rischio che un router obsoleto venga arruolato in botnet come Mirai, una misura concreta è sostituirlo con un modello recente e mantenuto. TP-Link Archer AX55 (Wi‑Fi 6) è un router dual band pensato per reti domestiche moderne, con firmware aggiornabile, crittografia WPA3, gestione tramite app e funzioni di sicurezza integrate come controllo accessi e rete ospiti per isolare i dispositivi IoT. Supporta velocità elevate su 5 GHz e una migliore gestione di più client rispetto ai modelli datati, limitando esposizioni tipiche (password di fabbrica, interfacce remote non necessarie) grazie a impostazioni più guidate. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

TP-Link Archer AX55 (Wi‑Fi 6) è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • CVE: CVE, o Common Vulnerabilities and Exposures, è un sistema per identificare in modo univoco e tracciare le vulnerabilità di cybersecurity note pubblicamente in software e hardware.
  • Command Injection: La Command Injection è una vulnerabilità in cui gli aggressori inducono i sistemi a eseguire comandi non autorizzati inserendo input malevoli in campi utente o interfacce.
  • Mirai: Mirai è un malware che dirotta dispositivi IoT, creando botnet per attacchi DDoS su larga scala. Le sue varianti, come Aisuru, sono ancora più avanzate.
  • Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da cybercriminali, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
  • Attacco DDoS: Un attacco DDoS avviene quando molti computer inondano un servizio di richieste false, sovraccaricandolo e rendendolo lento o non disponibile per gli utenti reali.
TP-Link routers Mirai botnet cybercrime attacks
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news