Akamai scopre Wazuh:
domini italiani usati per diffondere malware Mirai
Il team Akamai Security Intelligence and Response Team (SIRT) ha scoperto una campagna malevola su larga scala che sfrutta la vulnerabilità critica CVE-2025-24016 nei server Wazuh. Due distinte botnet basate su varianti del malware Mirai stanno approfittando della falla per propagarsi e infettare sistemi vulnerabili. Ma c’è un dettaglio che colpisce: i nomi di dominio utilizzati in una delle due botnet sono in lingua italiana, lasciando pensare a un possibile targeting specifico di utenti e infrastrutture nel nostro Paese.
I domini come gestisciweb.com, adesso-online.com, multi-canale.com, versioneonline.com e altri — linguisticamente coerenti con l’italiano ma in realtà controllati da server Command-and-Control (C2) — sembrano costruiti appositamente per ingannare o mimetizzarsi nel contesto italiano. Un approccio che potrebbe indicare una campagna studiata per colpire dispositivi IoT, router e server gestiti da utenti italofoni o residenti in Italia.
La minaccia: Mirai e la falla nei server Wazuh
La vulnerabilità sfruttata (CVE-2025-24016) permette a un attaccante di eseguire codice remoto su server Wazuh non aggiornati (versioni 4.4.0 – 4.9.0), tramite una richiesta API manipolata. La falla è stata resa pubblica a febbraio 2025, e già a marzo Akamai ha osservato exploit attivi attraverso honeypot distribuiti globalmente.
Una delle due botnet osservate, chiamata informalmente “Resbot” o “Resentual”, carica uno script malevolo su dispositivi vulnerabili, installando una variante del malware Mirai. Questo script contiene nomi di dominio in italiano che, se visitati o analizzati superficialmente, possono apparire innocui o simili a quelli usati in ambienti aziendali legittimi.
La presenza sistematica di riferimenti italiani nei domini dannosi suggerisce una maggiore probabilità di targeting verso il territorio italiano o verso utenti con preferenze linguistiche italiane. Questo espone a un rischio specifico aziende italiane, provider di servizi, enti pubblici e utenti domestici che utilizzano dispositivi connessi con versioni vulnerabili di Wazuh o router consumer non aggiornati.
L’uso di vecchie varianti di Mirai e nuove vulnerabilità appena pubblicate si conferma una strategia efficace per gli attori malevoli. In questo caso, l’aggiunta di un elemento linguistico – la lingua italiana come camouflage – dimostra un’evoluzione delle tecniche di ingegneria sociale applicate anche all’automazione delle botnet.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.
Per maggiori dettagli è possibile consultare il blogpost al seguente link.
