Uma nova botnet chamada Ballista está explorando a vulnerabilidade CVE-2023-1389 em roteadores TP-Link Archer AX-21. A falha, que permite execução remota de código (RCE), tem sido usada para infectar dispositivos e espalhá-los automaticamente pela Internet, segundo a Cato CTRL. A exploração dessa falha começou em abril de 2023, inicialmente usada para implantar o malware Mirai. Desde então, outras variantes como Condi e AndroxGh0st também a utilizaram. 

A campanha Ballista foi identificada em 10 de janeiro de 2025, com a tentativa mais recente de ataque registrada em 17 de fevereiro. O malware usa um dropper chamado “dropbpb.sh”, que baixa e executa um binário malicioso para arquiteturas como mips, armv5l e x86_64. Assim que infectado, o dispositivo estabelece um canal criptografado na porta 82, permitindo controle remoto. O botnet pode executar comandos Shell, realizar ataques de negação de serviço (DoS) e acessar arquivos sensíveis.

Entre os principais comandos do Ballista, estão:

• Flooder: inicia um ataque de inundação;
• Exploiter: explora a falha CVE-2023-1389;
• Shell: executa comandos Linux;
• Killall: encerra o serviço;
• Close: desativa módulos específicos.

O malware apaga seus rastros e busca se espalhar para outros roteadores vulneráveis. Pesquisadores identificaram elementos que sugerem a autoria de um ator de ameaça italiano, como strings em italiano nos binários do malware. A botnet já comprometeu mais de 6.000 dispositivos, com infecções concentradas no Brasil, Polônia, Reino Unido, Bulgária e Turquia. Seus alvos incluem setores de manufatura, saúde, serviços e tecnologia nos EUA, Austrália, China e México. A ameaça continua evoluindo, agora utilizando a rede TOR para comunicação em vez de um IP fixo.