Ballista: la botnet di origine italiana che infetta migliaia di router TP-Link non aggiornati
Una nuova campagna botnet, denominata Ballista, sfrutta una grave vulnerabilità di esecuzione di codice remoto nei router TP-Link Archer AX-21 non aggiornati. La diffusione sembra essere opera di un attore di minaccia italiano
di Andrea Bai pubblicata il 12 Marzo 2025, alle 12:51 nel canale SicurezzaTP-Link
E' stata scoperta, dai ricercatori di Cato CRTL, una nuova campagna botnet denominata Ballista che, sfruttando una vulnerabilità grave di esecuzione di codice remoto (CVE-2023-1389) presente nei router TP-Link Archer AX-21 non aggiornati, consente l'iniezione di comandi e l'esecuzione di codice remoto, permettendo al malware di diffondersi automaticamente su Internet. La vulnerabilità era già stata utilizzata in precedenza per distribuire malware come Mirai, Condi e AndroxGh0st.
La botnet Ballista è stata rilevata per la prima volta il 10 gennaio 2025, con l'ultimo tentativo di sfruttamento registrato il 17 febbraio scorso. Stando alle rilevazioni dei ricercatori, si contano ad oggi oltre 6.000 dispositivi compromessi, principalmente concentrati in Brasile, Polonia, Regno Unito, Bulgaria e Turchia. La botnet prende di mira i settori manifatturiero, sanitario, dei servizi e tecnologia in paesi quali Stati Uniti, Australia, Cina e Messico.
L'attacco si snoda attraverso una serie di fasi: anzitutto viene usato un dropper malware che scarica uno script che ha lo scopo di recuperare un eseguibile adatto all'architettura del dispositivo preso di mira. L'avvio dell'eseguibile permette di stabilire un canale di comando e controllo crittografato su porta 82 per prendere il controllo del dispositivo compromesso. Attraverso questo canale è possibile eseguire comandi shell Linux per ulteriori attacchi di esecuzione di codice da remoto, attacchi DoS e tentativi di lettura dei file sensibili sul sistema.
Ballista è progettato per diffondersi ad altri router sfruttando la stessa vulnerabilità e può cancellare tracce della sua presenza per evitare rilevamenti. Durante l'analisi del malware, gli esperti hanno notato che gli attori della minaccia hanno sostituito l'indirizzo IP iniziale con domini della rete TOR per migliorare la furtività dell'attacco. Questo indica che il malware è ancora in fase attiva di sviluppo.
Le analisi condotte suggeriscono che l'origine della botnet potrebbe essere italiana, basandosi sull'indirizzo IP iniziale e su alcune stringhe rilevate negli eseguibili del malware. Tuttavia, l'indirizzo IP originale non è più operativo.
Gli utenti in possesso dei router TP-Link Archer AX-21 sono invitati a verificare la disponibilità degli aggiornamenti firmware tramite le interfacce web o l'app TP-Link Tether.
Test ride con Gowow Ori: elettrico e off-road vanno incredibilmente d'accordo
Recensione OnePlus 15: potenza da vendere e batteria enorme dentro un nuovo design 
AMD Ryzen 5 7500X3D: la nuova CPU da gaming con 3D V-Cache per la fascia media
Grazie ai dati di ESA il calcolo della traiettoria della cometa interstellare 3I/ATLAS è più preciso
Rilasciati nuovi video e immagini della seconda missione del razzo spaziale Blue Origin New Glenn
Gli astronauti cinesi di Shenzhou-20 sono rientrati a bordo della navicella di Shenzhou-21 a causa di un danno a un oblò
Mai così tanti gas serra: il 2025 segna un nuovo record per le emissioni fossili
Google condannata in Germania: favorito Shopping, deve pagare 572 milioni di euro a Idealo e Producto
Ubisoft rimanda i risultati finanziari e sospende il titolo: cosa sta succedendo davvero?
ADATA porta i primi moduli DDR5 CUDIMM 4-Rank da 128 GB nel settore desktop
Bob Iger anticipa le novità AI di Disney+: arrivano i contenuti generati dagli abbonati
Microsoft Teams 'spierà' i dipendenti: in arrivo il rilevamento della posizione su Windows e Mac
Michael Burry chiude Scion e fa di nuovo tremare Wall Street: 'Profitti gonfiati, ecco la verità sull'AI'
Huawei prepara i nuovi Mate 80: fino a 20 GB di RAM, doppio teleobiettivo e molto altro tra le novità
Una e-Mountain Bike di qualità ma spendendo il giusto? Super sconto di 3.000 euro 
Tutte le offerte Amazon Black Friday più pesanti, aggiornate: altri robot scesi di prezzo, portatili, TV e diverse sorprese
DJI Mini 4K Fly More Combo con 3 batterie e accessori crolla a 349€, si guida senza patentino
22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoOra come si fa a capire se il router ha qualcosa che non va? Ovviamente ho pure password difficile (si spera) e firewall attivo e non da alcun problemi ne' altro, quindi chiedo per info che del futuro non si sa mai.
*
Non mi sembra Tu abbia risposto alla domanda, aspettero' altri non preoccuparti.
Per il tuo discorso, ho appena detto che il mio modem e' stato messo negli aggiornamenti continuativi e periodici open della tp-link, perche' dovrei passare ad openWRT? Che senso avrebbe?
Per il tuo discorso, ho appena detto che il mio modem e' stato messo negli aggiornamenti continuativi e periodici open della tp-link, perche' dovrei passare ad openWRT? Che senso avrebbe?
non si capisce che hai fatto
hai aggiornato, o no?
se c'è un firmware nuovo, successivo alle CVE, ok
altrimenti openwrt se supportato
Ora come si fa a capire se il router ha qualcosa che non va? Ovviamente ho pure password difficile (si spera) e firewall attivo e non da alcun problemi ne' altro, quindi chiedo per info che del futuro non si sa mai.
La domanda in realtà è perche un router dovrebbe eseguire da solo un codice proveniente da remoto?
hai aggiornato, o no?
se c'è un firmware nuovo, successivo alle CVE, ok
altrimenti openwrt se supportato
MI spiace se mi sono spigato male.
Il mio router non veniva piu' aggiornato da due anni ed avevo perso la speranza.
Poi un Utente Italiano ha fatto segnalazione della cosa nel forum di TP-Link, Loro si sono scusati ed hanno aggiunto gli aggiornamenti del firmware ufficiale TP-Link alla sezione Loro Open ed e' uscito aggiornamento, ed e' rientrato negli aggiornamenti periodici. Si ho aggiornato all'ultima versione.
Non penso che faccia tutto da solo, probabilmente lo fa perche' qualcuno sfrutta un bug, difetto o altro.
Il mio router non veniva piu' aggiornato da due anni ed avevo perso la speranza.
Poi un Utente Italiano ha fatto segnalazione della cosa nel forum di TP-Link, Loro si sono scusati ed hanno aggiunto gli aggiornamenti del firmware ufficiale TP-Link alla sezione Loro Open ed e' uscito aggiornamento, ed e' rientrato negli aggiornamenti periodici. Si ho aggiornato all'ultima versione.
Non penso che faccia tutto da solo, probabilmente lo fa perche' qualcuno sfrutta un bug, difetto o altro.
brev
si era un pò spiegata male
quindi tu non devi fare nulla per ora, dovresti essere a posto
Non perdete tempo con firmware open o closed, buttateli e comprate qualcos'altro. Date retta a uno scemo.
By(t)e
ma per essere "efficaci" non dovrebbero essere eseguiti "dal di fuori"? tipo che NON sono collegato al router ma ne conosco l'IP pubblico (è il mio router, quindi lo so qual è in quel momento) e solo allora da un'altra connessione internet provo a bucare quell'IP?
mi aspetto che sulla porta WAN il router (soprattutto uno "domestico) sia più "blindato" rispetto al traffico generato sulla LAN.
un test del genere non potrebbe rilevare delle falle che in realtà sono sfruttabili solo "dall'interno" e non "dall'esterno"?
sarebbe grave ovvio, ma di sicuro enormemente meno che una falla sfruttabile direttamente dall'esterno.
PS: io ho sempre avuto Netgear o (soprattutto) Asus ma recentemente sono passato a TP-Link. per ora funziona benissimo.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".