La famosa red de bots ha abandonado su código original para volverse más sigilosa y letal, y ahora aprovecha vulnerabilidades críticas para abrir rutas directas hacia las redes empresariales internas.
Las redes de bots (botnets) ya no se conforman con secuestrar únicamente las cámaras de seguridad y los routers domésticos. Hoy, 3 de marzo de 2026, se reporta que una nueva y peligrosa variante del malware Zerobot ha resurgido con una fuerza renovada.
Bajo el nombre de “zerobotv9”, esta novena iteración basada en el infame código de la botnet Mirai está explotando activamente vulnerabilidades críticas para propagarse por redes expuestas y dispositivos conectados. Los investigadores detectaron los primeros intentos de explotación a mediados de enero de 2026 a través de su red global de honeypots (sistemas trampa). Sin embargo, la campaña en sí se remonta al menos hasta principios de diciembre de 2025.
La Evolución: Más Pequeño, Más Sigiloso
Cuando Zerobot apareció por primera vez en 2022, los analistas documentaron que estaba programado en el lenguaje Go y enfocado principalmente en dispositivos del Internet de las Cosas (IoT). La versión actual demuestra una evolución técnica preocupante por parte de sus operadores:
- La variante zerobotv9 ha abandonado por completo su arquitectura basada en Go.
- Su tamaño de archivo es ahora considerablemente menor y se encuentra empaquetado utilizando UPX.
- Oculta su funcionamiento interno utilizando cadenas de texto cifradas.
- Se comunica directamente con un dominio de Comando y Control (C2) codificado de forma rígida en el malware: 0bot.qzz[.]io.
Los Dos Grandes Objetivos de Zerobotv9
Lo que hace que esta campaña sea particularmente alarmante es su atípica selección de víctimas. Mientras que los ataques convencionales persiguen hardware IoT, Zerobot ha fijado su mirada en plataformas de infraestructura corporativa profunda:
- Routers Tenda AC1206 (CVE-2025-7544): El malware explota un desbordamiento de búfer crítico basado en la pila que afecta directamente a la versión de firmware 15.03.06.23. El atacante envía un valor excesivamente grande (500 caracteres repetidos) a través del parámetro deviceList hacia el endpoint /goform/setMacFilterCfg. Esto permite a los criminales lograr tanto Ejecución Remota de Código (RCE) como ataques de Denegación de Servicio (DoS).
- Plataforma de Automatización n8n (CVE-2025-68613): Este es el salto estratégico a las redes corporativas. Zerobot explota una vulnerabilidad RCE crítica en el sistema de evaluación de expresiones de los flujos de trabajo de n8n, afectando a las versiones desde la 0.211.0 hasta la 1.22.0. La falta de un entorno de pruebas (sandboxing) adecuado permite a los criminales ejecutar código arbitrario, robar valiosas claves de API, acceder a los archivos del servidor y asegurar persistencia a largo plazo.
Dado que muchas organizaciones dependen de n8n para conectar sus bases de datos y procesar datos sensibles, el compromiso exitoso de esta plataforma abre peligrosas rutas para el movimiento lateral de los atacantes dentro de la infraestructura crítica de la empresa.
La Cadena de Infección y el Nuevo Arsenal
Una vez que un dispositivo o plataforma es identificada como vulnerable, Zerobot detona el exploit correspondiente para forzar a la máquina a descargar y ejecutar un script shell malicioso llamado tol.sh, proveniente de la dirección IP estadounidense 144.172.100.228.
- Este script copia la popular herramienta legítima busybox en el directorio temporal (/tmp) y le asigna permisos de ejecución inmediatos.
- A continuación, descarga y arranca la carga útil principal: el propio zerobotv9. Esta carga útil ha sido diseñada para soportar múltiples arquitecturas de CPU, garantizando una amplia compatibilidad de dispositivos.
- Para evadir la detección de red, el binario malicioso incrusta cadenas user-agent falsas, logrando imitar de manera efectiva el tráfico de navegadores web legítimos.
- Su arsenal ahora incluye métodos de ataque como TCPXmas, Mixamp, SSH y Discord, superando ampliamente las capacidades de la variante original de 2022.
Cómo Defender Tu Red
Si tu organización utiliza routers Tenda AC1206 operando con el firmware 15.03.06.23, debes parchearlos de forma crítica hoy mismo o proceder a reemplazar el hardware envejecido. En el ámbito del software, los administradores de sistemas deben actualizar sus instancias de n8n a versiones superiores a la 1.22.0, restringir el acceso a la interfaz de ejecución de los flujos de trabajo e imponer controles de privilegios de usuario estrictos.
Finalmente, los equipos de defensa deben monitorear y bloquear activamente el dominio de mando 0bot.qzz[.]io, así como utilizar las reglas de detección YARA y Snort publicadas por Akamai para identificar cualquier posible compromiso transversal.
