Siber güvenlik araştırmacıları, Langflow’da yakın zamanda açıklanan kritik güvenlik kusurlarını aktif olarak kullanan yeni bir kampanyaya dikkat çektiler. Flodrix Botnet kötü amaçlı yazılım.
Trend Micro araştırmacıları Aliakbar Zahravi, Ahmed Mohamed Ibrahim, Sunil Bharti ve Shubham Singh, bugün yayınlanan bir teknik raporda, “Saldırganlar, güvenliği ihlal edilmiş langflow sunucularında indirici komut dosyalarını yürütmek için kullanıyorlar.”
Etkinlik, CVE-2025-3248 (CVSS puanı: 9.8), Langflow’da eksik bir kimlik doğrulama güvenlik açığı, yapay zeka (AI) uygulamaları oluşturmak için Python tabanlı bir “görsel çerçeve”.
Kusurun başarılı bir şekilde kullanılması, kimlik doğrulanmamış saldırganların hazırlanmış HTTP istekleri aracılığıyla keyfi kod yürütmesini sağlayabilir. Mart 2025’te Langflow tarafından 1.3.0 sürümüyle yamalandı.
Geçen ay, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2025-3248’in vahşi doğada aktif olarak sömürülmesini işaretledi ve SANS Teknoloji Enstitüsü, balpot sunucularına karşı istismar girişimlerini tespit ettiğini ortaya koydu.
Trend Micro’nun son bulguları, tehdit aktörlerinin, keşif yapmak ve flodrix botnet kötü amaçlı yazılımı “80.66.75’ten almaktan ve yürütmekten sorumlu bir kabuk senaryosu indiricisini bırakan, kamuya açık bir kavram kanıtı (POC) kodundan yararlanan internete maruz kalan langflow örneklerini hedeflediğini gösteriyor.[.]121: 25565. “
Kurulduktan sonra Flodrix, hedef IP adreslerine karşı dağıtılmış hizmet reddi (DDOS) saldırılarını başlatmak için TCP üzerinden komut almak için uzak bir sunucu ile iletişimi ayarlar. Botnet ayrıca TOR anonimlik ağı üzerindeki bağlantıları da destekler.
“Langflow giriş doğrulama veya kum havuzunu zorlamadığından, bu yükler sunucunun bağlamında derlenir ve yürütülür ve [remote code execution]”Araştırmacılar dedi.” Bu adımlara dayanarak, saldırgan muhtemelen tüm savunmasız sunucuları profilliyor ve toplanan verileri gelecekteki enfeksiyonlar için yüksek değerli hedefleri tanımlamak için kullanıyor. “
Trend Micro, bilinmeyen tehdit aktörlerinin Flodrix’i almak için kullanılan aynı ana bilgisayarda farklı indirici senaryolarına ev sahipliği yaptığını belirlediğini ve kampanyanın aktif geliştirme geçirdiğini belirttiğini söyledi.
Flodrix, Moobot Grubuna bağlı Leethozer adlı başka bir botnetin evrimi olarak değerlendirildi. Geliştirilmiş varyant, komuta ve kontrol (C2) sunucu adreslerini ve diğer önemli göstergeleri gizleyerek kendini gizlice kaldırma, adli izleri en aza indirme ve analiz çabalarını karmaşıklaştırma yeteneğini içerir.
Trend Micro, “Bir diğer önemli değişiklik, şimdi de şifrelenmiş yeni DDOS saldırı türlerinin tanıtılması ve başka bir şaşkınlık katmanı eklemesidir.” Dedi. “Yeni örnek aynı zamanda tüm çalışan işlemlere erişmek için açılış /Proc Directory ile çalışan işlemleri de numaralandırıyor.”