Hackers estão explorando vulnerabilidades em dispositivos IoT obsoletos da GeoVision e no sistema Samsung MagicINFO para integrar esses aparelhos a uma botnet Mirai usada em ataques de negação de serviço (DDoS). A campanha foi detectada pela equipe de inteligência da Akamai no início de abril de 2025 e envolve falhas de injeção de comandos (CVE-2024-6047 e CVE-2024-11120, ambas com severidade 9.8) no endpoint /DateSetting.cgi dos dispositivos GeoVision.

Os invasores usam o parâmetro szSrvIpAddr para injetar comandos que baixam e executam uma versão do malware Mirai chamada LZRD. Além das falhas específicas da GeoVision, a botnet também se aproveita de vulnerabilidades como a CVE-2018-10561 no Hadoop YARN e outra falha em dispositivos DigiEver, revelada em dezembro de 2024. Especialistas sugerem que essa atividade pode estar ligada à campanha conhecida como InfectedSlurs. A situação é agravada pela ausência de atualizações para dispositivos descontinuados, o que os torna alvos fáceis.

Especialistas recomendam a substituição dos aparelhos antigos por modelos mais recentes. Paralelamente, uma falha no Samsung MagicINFO 9 Server (CVE-2024-7399, pontuação 8.8) também está sendo explorada. A vulnerabilidade, corrigida pela Samsung em agosto de 2024, permite escrita arbitrária de arquivos por usuários não autenticados, levando à execução remota de código. Após a divulgação de um código de prova de conceito em 30 de abril de 2025, o ataque passou a ser utilizado para distribuir o Mirai. A recomendação é atualizar o software para a versão 21.1050 ou superior.