Digitale Videorekorder und Heimrouter geraten erneut in den Fokus professioneller Botnet-Operatoren: Sicherheitsforscher von Fortinet FortiGuard Labs und Palo Alto Networks Unit 42 beobachten derzeit eine Welle automatisierter Angriffe, bei denen neue Varianten des Mirai-Botnets gezielt TBK-DVRs und veraltete TP-Link-Router kompromittieren.
Neue Mirai-Welle: Nexcorium nutzt TBK-DVR-Schwachstelle CVE-2024-3721
Im Mittelpunkt steht die Schwachstelle CVE-2024-3721 (CVSS 6,3) in den Modellen TBK DVR‑4104 und DVR‑4216. Dabei handelt es sich um eine klassische Command-Injection-Lücke: Über manipulierte Eingaben im Webinterface lässt sich beliebiger Code auf dem Gerät ausführen – ohne Interaktion des Besitzers.
Angreifer nutzen diesen Fehler, um zunächst ein kleines Loader-Skript nachzuladen. Dieses ermittelt die Prozessorarchitektur der Linux-basierten Firmware (z. B. MIPS oder ARM) und lädt anschließend das passende Schadmodul. Nach erfolgreicher Infektion erscheint auf dem Gerät die Meldung „nexuscorp has taken control“ – ein Indikator für das Botnet Nexcorium.
Analysen zeigen, dass Nexcorium technisch eng an das ursprüngliche Mirai angelehnt ist: Die Konfiguration ist per XOR verschleiert, ein Watchdog-Modul überwacht die Stabilität des Prozesses, und es existiert umfangreiche DDoS-Funktionalität. Diese Merkmale sind typisch für moderne IoT-Botnetze, die auf Langzeitkontrolle und massenhafte Angriffe ausgelegt sind.
Seitliche Ausbreitung über Huawei-Router und Telnet-Bruteforce
Eine Besonderheit von Nexcorium ist ein integrierter Exploit für die bereits ältere Schwachstelle CVE-2017-17215 in Routern der Serie Huawei HG532. Die Angreifer nutzen kompromittierte TBK-DVRs damit als Sprungbrett, um weitere Geräte im gleichen Netzwerk zu übernehmen.
Zusätzlich verfügt die Malware über eine Liste hart kodierter Standardzugänge (Login/Passwort-Kombinationen) und führt automatisierte Telnet-Bruteforce-Angriffe durch. Gelingt die Anmeldung, richtet Nexcorium Persistenz über crontab und systemd ein und verbindet sich mit einem Command-and-Control-Server (C2), um Befehle für DDoS-Angriffe über UDP, TCP oder sogar SMTP zu empfangen.
Um forensische Analysen zu erschweren, löscht der Schädling nach der Installation die ursprüngliche Binärdatei vom System – ein gängiges Vorgehen im IoT-Botnet-Ökosystem, das die Nachvollziehbarkeit von Angriffsketten deutlich erschwert.
Loader-as-a-Service: RondoDox, Mirai und Morte als Mietbotnet
Bereits frühere Untersuchungen von CloudSEK zeigen, dass CVE-2024-3721 nicht nur für Nexcorium genutzt wird. Die Schwachstelle dient auch zum Ausrollen anderer Botnet-Familien wie RondoDox, klassischen Mirai-Varianten und Morte – häufig über eine kriminelle Loader-as-a-Service-Infrastruktur.
Dieses Modell funktioniert ähnlich wie „Ransomware-as-a-Service“: Kriminelle mieten fertige Loader-Dienste, die wiederum unterschiedliche Malware-Familien über schwache Passwörter und ungepatchte Lücken in Routern, IoT-Geräten und Unternehmensanwendungen verteilen. Dadurch sinkt der Einstiegshürde erheblich – selbst wenig technisch versierte Täter können in kurzer Zeit große Botnetze für DDoS, Kryptomining oder Proxy-Missbrauch aufbauen.
TP-Link-Router im Visier: Condi-Botnet und CVE-2023-33538
Parallel dazu berichten Forscher von Palo Alto Networks Unit 42 über automatisierte Scans und Exploit-Versuche gegen die Schwachstelle CVE-2023-33538 (CVSS 8,8) in mehreren End-of-Life-TP-Link-Routern. Auch hier handelt es sich um eine Command-Injection-Lücke im Webinterface der Administration.
Die bislang beobachteten Exploit-Skripte enthalten Implementierungsfehler und führen nach aktuellem Stand noch nicht zuverlässig zu einer erfolgreichen Kompromittierung. Die Lücke selbst ist jedoch real und ermöglicht bei korrekter Ausnutzung weitreichende Rechte auf dem Gerät. Für einen erfolgreichen Angriff ist eine authentifizierte Sitzung im Web-Interface erforderlich – in Kombination mit Standardpasswörtern ist dies jedoch häufig keine hohe Hürde.
Ziel der Kampagne ist die Verteilung einer Mirai-ähnlichen Malware, in deren Quelltext häufig die Zeichenkette „Condi“ vorkommt. Dieses Condi-Botnet kann sich selbst aktualisieren, neue Versionen nachziehen und zudem als Webserver zur Weiterverbreitung fungieren, indem es weitere Geräte infiziert, die sich mit dem kompromittierten Router verbinden. Die Schwachstelle CVE-2023-33538 wurde im Juni 2025 in den Known Exploited Vulnerabilities (KEV)-Katalog der US-Behörde CISA aufgenommen – ein klares Indiz für ihre sicherheitsrelevante Bedeutung.
Warum IoT-Geräte ein dauerhaft attraktives Ziel für Botnetze sind
Die aktuelle Angriffswelle unterstreicht strukturelle Schwächen im Umgang mit IoT-Sicherheit. Viele Geräte werden in großen Stückzahlen ausgerollt, erhalten nur selten Firmware-Updates und verbleiben über Jahre mit Werkskonfigurationen und Standardpasswörtern im Einsatz. Eine ursprünglich „nur“ authentifizierte Schwachstelle wird so de facto zu einer Kritikalitätsstufe ähnlich einer Remote-Exploitable-Lücke.
Die Geschichte von Mirai, das bereits 2016 durch DDoS-Angriffe im hohen dreistelligen Gbit/s-Bereich auf DNS-Provider und große Onlinedienste bekannt wurde, zeigt zudem die Langlebigkeit einmal veröffentlichter Schadcodes. Der frei verfügbare Quellcode führte zu zahllosen Forks und Weiterentwicklungen – Nexcorium und Condi sind nur die jüngsten Glieder in dieser Kette, angepasst an neue Schwachstellen und Gerätegenerationen.
Für Betreiber von TBK-DVRs, TP-Link-Routern und anderen IoT-Geräten ergeben sich klare Handlungsfelder: EoL-Hardware sollte konsequent ersetzt und durch unterstützte Modelle mit regelmäßigen Sicherheitsupdates abgelöst werden. Firmware-Updates sind zeitnah einzuspielen, Telnet und andere nicht benötigte Dienste sollten deaktiviert, und alle Standardzugangsdaten durch starke, einzigartige Passwörter ersetzt werden. Ergänzend reduzieren Netzwerksegmentierung, strenges Rechte-Management und die Überwachung auffälliger Traffic-Muster das Risiko, dass ein kompromittiertes IoT-Gerät zum Einfallstor oder zur DDoS-Waffe wird. Wer diese Basismaßnahmen umsetzt, erhöht die Resilienz gegenüber der nächsten Mirai-Generation deutlich.
