O malware AndroxGh0st, que agora integra funcionalidades do botnet Mozi, está ampliando sua atuação ao explorar um conjunto mais amplo de falhas de segurança em aplicações conectadas à internet, com foco especial em dispositivos IoT e serviços em nuvem. De acordo com os pesquisadores, o botnet utiliza métodos de execução remota de código e roubo de credenciais para manter acesso persistente, aproveitando vulnerabilidades não corrigidas para infiltrar infraestruturas críticas. Desenvolvido em Python, o AndroxGh0st é conhecido por direcionar ataques a aplicativos Laravel, com o objetivo de acessar dados sensíveis de serviços como Amazon Web Services (AWS), SendGrid e Twilio.

Em atividade desde 2022, o malware já explorou falhas em servidores Apache (CVE-2021-41773), no framework Laravel (CVE-2018-15133) e no PHPUnit (CVE-2017-9841) para obter acesso inicial, escalar privilégios e estabelecer controle persistente em sistemas comprometidos. Além disso, o AndroxGh0st executa tentativas de login nos sistemas alvo utilizando nomes de usuários administrativos comuns e senhas com padrões previsíveis. Uma vez autenticado, o malware obtém acesso aos controles e configurações de sites WordPress, direcionando o usuário para o painel /wp-admin/.

Embora os autores do Mozi tenham sido presos pelas autoridades chinesas em setembro de 2021, uma redução significativa na atividade do botnet só foi observada em agosto de 2023, quando um comando de desligamento foi emitido para desativá-lo. A integração do Mozi com o AndroxGh0st sugere uma possível aliança operacional, permitindo que o AndroxGh0st se propague para mais dispositivos com o apoio das rotinas de infecção do Mozi.