Cybersecurity -onderzoekers hebben de aandacht gevestigd op een nieuwe campagne die actief een recent bekendgemaakte kritische beveiligingsfout in Langflow exploiteert om de te leveren Flodrix Botnet -malware.
“Aanvallers gebruiken de kwetsbaarheid om downloaderscripts uit te voeren op gecompromitteerde langflow -servers, die op hun beurt de Flodrix -malware ophalen en installeren,” zei trend micro -onderzoekers Aliakbar Zahravi, Ahmed Mohamed Ibrahim, Sunil Bharti en Shubham Singh in een technisch rapport dat vandaag werd gepubliceerd.
De activiteit houdt de uitbuiting van CVE-2025-3248 (CVSS-score: 9.8), een ontbrekende kwetsbaarheid voor authenticatie in Langflow, een op python gebaseerd “visueel kader” voor het bouwen van kunstmatige intelligentie (AI) -toepassingen.
Succesvolle exploitatie van de fout kan niet -geauthenticeerde aanvallers in staat stellen om willekeurige code uit te voeren via bewerkte HTTP -aanvragen. Het werd gepatcht door Langflow in maart 2025 met versie 1.3.0.
Vorige maand markeerden de US Cybersecurity and Infrastructure Security Agency (CISA) de actieve exploitatie van CVE-2025-3248 in het wild, waarbij het SANS Technology Institute onthulde dat het exploitpogingen tegen zijn Honeypot-servers detecteerde.
De nieuwste bevindingen van Trend Micro laten zien dat bedreigingsacteurs zich richten op niet-geëxposeerde internet-blootgestelde Langflow-instanties die een publiekelijk beschikbare proof-of-concept (POC) -code gebruiken om verkenningscode uit te voeren en een shell script downloader te laten vallen die verantwoordelijk is voor het ophalen en uitvoeren van de FLODRIX BOTNET-malware van “80.66.75 (.) 121: 25565.”
Eenmaal geïnstalleerd, stelt Flodrix communicatie in met een externe server om opdrachten via TCP te ontvangen om gedistribueerde Denial-of-Service (DDOS) -aanvallen op doel-IP-adressen van interesse te starten. De botnet ondersteunt ook verbindingen via het Tor Anonimity Network.
“Aangezien Langflow de invoervalidatie of sandboxing niet afdwingt, worden deze payloads samengesteld en uitgevoerd in de context van de server, wat leidt tot (externe uitvoering van de code),” zeiden de onderzoekers. “Op basis van deze stappen profileert de aanvaller waarschijnlijk alle kwetsbare servers en gebruikt de verzamelde gegevens om hoogwaardige doelen te identificeren voor toekomstige infecties.”
Trend Micro zei dat het de onbekende dreigingsacteurs identificeerde om verschillende downloader -scripts te hosten op dezelfde host die werd gebruikt om Flodrix op te halen, wat suggereert dat de campagne actieve ontwikkeling ondergaat.
Flodrix wordt beoordeeld als een evolutie van een andere botnet genaamd Leethozer die is gekoppeld aan de Moobot -groep. De verbeterde variant omvat de mogelijkheid om zichzelf discreet te verwijderen, forensische sporen te minimaliseren en analyse-inspanningen te compliceren door command-and-control (C2) serveradressen en andere belangrijke indicatoren te verdoezelen.
“Een andere belangrijke verandering is de introductie van nieuwe DDoS -aanvalstypen, die nu ook worden gecodeerd, wat een verdere laag van verduistering toevoegt,” zei Trend Micro. “Het nieuwe monster somt ook met name de loopprocessen op door de map openen /proc om toegang te krijgen tot alle lopende processen.”
