Botnet C0XMO explora falha em roteadores DD-WRT e elimina malwares concorrentes

A C0XMO não é só mais uma variante do Gafgyt: é um salto operacional no ecossistema de botnets IoT. Enquanto o Gafgyt tradicional dependia quase exclusivamente de força bruta em Telnet/SSH, a C0XMO prioriza exploração remota não autenticada, e escolheu com precisão a CVE-2021-27137, uma falha crítica no UPnP do DD-WRT que permite RCE via M-SEARCH malicioso com ST:uuid alongado. Isso significa que roteadores expostos na internet, mesmo com senhas fortes ou sem serviços abertos, ficam vulneráveis. O script Python de propagação lateral é outro desvio estratégico: ele não é apenas um downloader, mas um scanner ativo que identifica arquiteturas (ARM, MIPS, PowerPC, até 80836), baixa binários específicos e limpa concorrentes, inclusive seus cronjobs, init.d e até entradas em .bashrc. É um ataque de ocupação, não de injeção.

O alvo final não é só DDoS: os 19 vetores incluem amplificação NTP e Memcached, mas também ataques TCP SYN com spoofing granular de IP e porta, sugerindo uso para interrupção seletiva de serviços críticos, como APIs de pagamento ou sistemas de monitoramento industrial. O C2 usa handshake personalizado de três etapas, dificultando detecção por assinatura simples. E o servidor de distribuição (217.160.125.125:15527) está ativo desde maio, com tráfego crescente em redes de provedores japoneses e alemães, indicativo de campanha coordenada, não esporádica.

Em comparação com a RondoDox (noticiada em 26/05), a C0XMO representa uma mudança de paradigma: RondoDox explorava uma falha antiga (CVE-2018-5999) em firmware proprietário da ASUS, exigindo configuração específica; já a C0XMO ataca uma falha ativa há cinco anos no DD-WRT, um firmware open-source usado em centenas de marcas, incluindo Buffalo, Linksys e TP-Link rebrandeados. Além disso, enquanto RondoDox focava em redirecionamento de DNS e mineração, a C0XMO prioriza controle total do dispositivo, eliminação de rivais e DDoS tático. Não é só mais sofisticada: é mais escalável e menos dependente de credenciais fracas.

Roteadores e DVRs não são periféricos: são gateways de rede corporativa, pontos de entrada para segmentos industriais e dispositivos médicos conectados. A persistência da C0XMO via /dev/shm/.sys e .bash_profile permite sobreviver a reinicializações, e sua capacidade de apagar concorrentes impede que ferramentas de limpeza baseadas em assinatura de botnet anterior funcionem. Empresas que ainda usam DD-WRT versões <45723 (incluindo muitos dispositivos legacy em fábricas e hospitais) estão expostas mesmo sem ter SSH aberto. O patch não é opcional: é emergencial, porque a exploração não exige autenticação nem interação do usuário.