Ballista: la botnet di origine italiana che infetta migliaia di router TP-Link non aggiornati
Una nuova campagna botnet, denominata Ballista, sfrutta una grave vulnerabilità di esecuzione di codice remoto nei router TP-Link Archer AX-21 non aggiornati. La diffusione sembra essere opera di un attore di minaccia italiano
di Andrea Bai pubblicata il 12 Marzo 2025, alle 12:51 nel canale SicurezzaTP-Link
E' stata scoperta, dai ricercatori di Cato CRTL, una nuova campagna botnet denominata Ballista che, sfruttando una vulnerabilità grave di esecuzione di codice remoto (CVE-2023-1389) presente nei router TP-Link Archer AX-21 non aggiornati, consente l'iniezione di comandi e l'esecuzione di codice remoto, permettendo al malware di diffondersi automaticamente su Internet. La vulnerabilità era già stata utilizzata in precedenza per distribuire malware come Mirai, Condi e AndroxGh0st.
La botnet Ballista è stata rilevata per la prima volta il 10 gennaio 2025, con l'ultimo tentativo di sfruttamento registrato il 17 febbraio scorso. Stando alle rilevazioni dei ricercatori, si contano ad oggi oltre 6.000 dispositivi compromessi, principalmente concentrati in Brasile, Polonia, Regno Unito, Bulgaria e Turchia. La botnet prende di mira i settori manifatturiero, sanitario, dei servizi e tecnologia in paesi quali Stati Uniti, Australia, Cina e Messico.
L'attacco si snoda attraverso una serie di fasi: anzitutto viene usato un dropper malware che scarica uno script che ha lo scopo di recuperare un eseguibile adatto all'architettura del dispositivo preso di mira. L'avvio dell'eseguibile permette di stabilire un canale di comando e controllo crittografato su porta 82 per prendere il controllo del dispositivo compromesso. Attraverso questo canale è possibile eseguire comandi shell Linux per ulteriori attacchi di esecuzione di codice da remoto, attacchi DoS e tentativi di lettura dei file sensibili sul sistema.
Ballista è progettato per diffondersi ad altri router sfruttando la stessa vulnerabilità e può cancellare tracce della sua presenza per evitare rilevamenti. Durante l'analisi del malware, gli esperti hanno notato che gli attori della minaccia hanno sostituito l'indirizzo IP iniziale con domini della rete TOR per migliorare la furtività dell'attacco. Questo indica che il malware è ancora in fase attiva di sviluppo.
Le analisi condotte suggeriscono che l'origine della botnet potrebbe essere italiana, basandosi sull'indirizzo IP iniziale e su alcune stringhe rilevate negli eseguibili del malware. Tuttavia, l'indirizzo IP originale non è più operativo.
Gli utenti in possesso dei router TP-Link Archer AX-21 sono invitati a verificare la disponibilità degli aggiornamenti firmware tramite le interfacce web o l'app TP-Link Tether.
Recensione Logitech G PRO X TKL Rapid: la prima tastiera analogica del brand è promossa
Apple MacBook Air 15" M4: l’evoluzione significativa continua e ora costa meno! Recensione
Ryzen 9 9950X3D recensione: 16 core e 3D V-Cache di seconda generazione
Lanciata la missione Transporter-13 di SpaceX, a bordo la costellazione italiana H.E.R.M.E.S. di PoliMi, ASI e INAF
La minaccia del disc rot: neanche i supporti fisici sono eterni
Il lander Blue Ghost di Firefly Aerospace sta per concludere la missione sulla Luna: questo l'ultimo messaggio
GeForce RTX 5000: i system integrator accusati di bagarinaggio, ma lamentano anche loro prezzi insostenibili
Panasonic investe 30 milioni di euro in tado° per l'innovazione nelle pompe di calore intelligenti
Questo ottimo TV TCL da 55 pollici 4K HDR ora costa meno di 290€: ecco perché è un prezzo molto competitivo
FRITZ!Box 6860 5G, nuova soluzione di AVM per l'accesso a Internet mobile ultraveloce con supporto 5G
Migrazione verso il cloud: sfide e opportunità. I vantaggi di VMware con Aruba Cloud
Google Assistant verrà eliminato (quasi) ovunque a favore di Gemini: la transizione è ufficiale
Alexa+, passo indietro sulla privacy: le conversazioni verranno inviate tutte nel cloud
NZXT Lift Elite Wireless: Mouse ultraggero dal prezzo davvero interessante
BotQ, una nuova struttura progettata per produrre fino a 12.000 robot umanoidi all'anno
Huawei, in scadenza la licenza Windows su PC: arrivano i primi computer con HarmonyOS
SmallRig 9-in-1 CFexpress Photography Docking Station: adattatore multiporta per fotografi e videomaker
22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoOra come si fa a capire se il router ha qualcosa che non va? Ovviamente ho pure password difficile (si spera) e firewall attivo e non da alcun problemi ne' altro, quindi chiedo per info che del futuro non si sa mai.
*
Non mi sembra Tu abbia risposto alla domanda, aspettero' altri non preoccuparti.
Per il tuo discorso, ho appena detto che il mio modem e' stato messo negli aggiornamenti continuativi e periodici open della tp-link, perche' dovrei passare ad openWRT? Che senso avrebbe?
Per il tuo discorso, ho appena detto che il mio modem e' stato messo negli aggiornamenti continuativi e periodici open della tp-link, perche' dovrei passare ad openWRT? Che senso avrebbe?
non si capisce che hai fatto
hai aggiornato, o no?
se c'è un firmware nuovo, successivo alle CVE, ok
altrimenti openwrt se supportato
Ora come si fa a capire se il router ha qualcosa che non va? Ovviamente ho pure password difficile (si spera) e firewall attivo e non da alcun problemi ne' altro, quindi chiedo per info che del futuro non si sa mai.
La domanda in realtà è perche un router dovrebbe eseguire da solo un codice proveniente da remoto?
hai aggiornato, o no?
se c'è un firmware nuovo, successivo alle CVE, ok
altrimenti openwrt se supportato
MI spiace se mi sono spigato male.
Il mio router non veniva piu' aggiornato da due anni ed avevo perso la speranza.
Poi un Utente Italiano ha fatto segnalazione della cosa nel forum di TP-Link, Loro si sono scusati ed hanno aggiunto gli aggiornamenti del firmware ufficiale TP-Link alla sezione Loro Open ed e' uscito aggiornamento, ed e' rientrato negli aggiornamenti periodici. Si ho aggiornato all'ultima versione.
Non penso che faccia tutto da solo, probabilmente lo fa perche' qualcuno sfrutta un bug, difetto o altro.
Il mio router non veniva piu' aggiornato da due anni ed avevo perso la speranza.
Poi un Utente Italiano ha fatto segnalazione della cosa nel forum di TP-Link, Loro si sono scusati ed hanno aggiunto gli aggiornamenti del firmware ufficiale TP-Link alla sezione Loro Open ed e' uscito aggiornamento, ed e' rientrato negli aggiornamenti periodici. Si ho aggiornato all'ultima versione.
Non penso che faccia tutto da solo, probabilmente lo fa perche' qualcuno sfrutta un bug, difetto o altro.
brev
si era un pò spiegata male
quindi tu non devi fare nulla per ora, dovresti essere a posto
Non perdete tempo con firmware open o closed, buttateli e comprate qualcos'altro. Date retta a uno scemo.
By(t)e
ma per essere "efficaci" non dovrebbero essere eseguiti "dal di fuori"? tipo che NON sono collegato al router ma ne conosco l'IP pubblico (è il mio router, quindi lo so qual è in quel momento) e solo allora da un'altra connessione internet provo a bucare quell'IP?
mi aspetto che sulla porta WAN il router (soprattutto uno "domestico) sia più "blindato" rispetto al traffico generato sulla LAN.
un test del genere non potrebbe rilevare delle falle che in realtà sono sfruttabili solo "dall'interno" e non "dall'esterno"?
sarebbe grave ovvio, ma di sicuro enormemente meno che una falla sfruttabile direttamente dall'esterno.
PS: io ho sempre avuto Netgear o (soprattutto) Asus ma recentemente sono passato a TP-Link. per ora funziona benissimo.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".