Дослідники з Palo Alto Networks та інших компаній повідомили про низку атак, що використовують уразливості GeoServer, відкриті Redis-сервери та IoT-пристрої для створення нових типів ботнетів, проксі-мереж та криптомайнерів.
Атаки почалися з експлуатації критичної уразливості CVE-2024-36401 у GeoServer GeoTools (CVSS 9.8), яка дозволяє виконувати віддалений код. Зловмисники впроваджують легальні SDK або модифіковані застосунки, що монетизують трафік жертв через резидентні проксі-сервіси. Цей підхід виглядає як легітимна модель заробітку, тому часто лишається непоміченим. Виявлено понад 7 100 відкритих GeoServer-інстансів у 99 країнах.
Паралельно компанія Censys описала новий ботнет PolarEdge, що включає до 40 000 IoT-пристроїв — від корпоративних файрволів до роутерів та IP-камер. Він функціонує як Operational Relay Box (ORB), тихо перенаправляючи трафік без порушення основних функцій пристроїв. Це дозволяє кіберзлочинцям непомітно проводити атаки.
Ще одна кампанія поширює варіант Mirai під назвою gayfemboy, який заражає обладнання від DrayTek, TP-Link, Cisco та інших вендорів. Він підтримує різні архітектури (ARM, MIPS, PowerPC, Intel) та має чотири модулі: *Monitor* (стеження й ухилення від sandbox), *Watchdog* (UDP-зв’язок), *Attacker* (DDoS), *Killer* (самознищення). Уражені пристрої зафіксовані у США, Бразилії, Німеччині, Ізраїлі та ще низці країн.
Окремо виявлено криптоджекінг-кампанію TA-NATALSTATUS, яка атакує незахищені Redis-сервери. Зловмисники використовують стандартні команди CONFIG і SET для створення cron-завдань, що завантажують шкідливі скрипти, відключають SELinux, блокують конкурентів і запускають майнери. Для масового пошуку цілей використовуються утиліти masscan і pnscan.
Такі кампанії демонструють еволюцію кіберзлочинних методик — замість агресивного видобування ресурсів зловмисники переходять до «малопомітних» моделей монетизації. ORB-мережі, використання легітимних SDK і хмарних сервісів маскують активність, роблячи атаки майже невидимими для адміністраторів. Прийоми маскування, зокрема перейменування системних утиліт, ускладнюють форензіку й виявлення загроз.
Сучасні атаки на GeoServer, Redis і IoT-пристрої свідчать про радикальний зсув у кіберзлочинності: від класичних ботнетів до комплексних інфраструктур для проксі, DDoS та криптомайнінгу. Вони поєднують стелс, масштабованість і гнучкість. Для бізнесу це означає потребу у проактивному моніторингу, регулярному патчуванні та багаторівневих системах захисту, адже нові кампанії на кшталт PolarEdge чи gayfemboy можуть залишатися непоміченими роками.
