Cybersecurity-onderzoekers hebben details bekendgemaakt van een niet eerder gerapporteerd Internet-of-Things (IoT) botnet-framework genaamd TuxBot v3 Evolutie dat tekenen vertoont van ontwikkeling met behulp van een groot taalmodel (LLM), zij het met niet zo succesvolle resultaten.
“Hoewel de AI voldeed aan hun verzoek om botnetcode te genereren, bevatte het een veiligheidsdisclaimer die de ontwikkelaar niet kon verwijderen vóór verzending”, aldus Palo Alto Networks Unit 42. “Hoewel de LLM duidelijk heeft geholpen bij het construeren van het botnet, werkten verschillende functies in de geanalyseerde monsters niet correct.”
Het cyberbeveiligingsbedrijf zei dat een handmatige codebeoordeling deze fouten zou hebben opgelost en dat het mogelijk is dat er meer gepolijste versies van de malware in het wild bestaan.
Het botnetframework bestaat uit meerdere componenten: een op C gebaseerde botagent die cross-compileert voor meerdere architecturen (bijvoorbeeld ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC en RISC-V), een Go-gebaseerde command-and-control (C2)-server met een DDoS-for-hire-paneel, een aangepaste virtuele exploit-machine, Docker-gebaseerde testinfrastructuur en een geautomatiseerd bouwsysteem.
De botagent is ontworpen om Telnet-toegang bruut af te dwingen op gerichte apparaten met een set van 1.496 inloggegevensparen, en om exploitcode te integreren die zich richt op meer dan 30 IoT-apparaatfamilies die gebruik maken van bekende kwetsbaarheden. Het communiceert met de C2-server via een gecodeerd TCP-kanaal, terwijl het zijn toevlucht neemt tot een SHA512-algoritme voor domeingeneratie (DGA), peer-to-peer (P2P) roddelprotocol met door Ed25519 ondertekende opdrachten, Internet Relay Chat (IRC), DNS TXT-query’s en HTTP-polling als terugvalmechanisme.
De afstamming van het modulaire raamwerk is terug te voeren op drie verschillende botnets, zoals Mirai, AISURU en Wuhan, naast het gedeeltelijk overbrengen van een aantal functies van de open-source MHDDoS Python DDoS-toolkit. Ten minste één exemplaar van de malware werd op 20 januari 2026 naar het VirusTotal-platform geüpload, wat aangeeft dat deze al meer dan zes maanden bestaat. Er zijn aanwijzingen dat het werk aan het botnet een jaar daarvoor begon, toen de auteur de MHDDoS-repository van GitHub kloonde.
“Volgens de beschrijving van het raamwerk heeft de TuxBot-ontwikkelaar een zogenaamd professioneel C2-raamwerkplatform gebouwd met een beheerderspaneel voor meerdere gebruikers, geautomatiseerde implementatie en modulaire aanvalsmogelijkheden”, aldus onderzoekers Chris Navarrete, Asher Davila en Doel Santos.
De op Go gebaseerde C2-servercomponent gebruikt drie verschillende TCP-poorten voor inkomende verbindingen:
- TCP-poort 1999 (of 31337), die wordt gebruikt voor het verwerken van gecodeerde opdrachtverzending naar verbonden bots
- TCP-poort 2222, die een interactieve shell voor operators via SSH presenteert
- TCP-poort 9999, die een JSON-interface gebruikt voor programmatische toegang

Eenmaal gelanceerd volgt het botnet een vooraf gedefinieerde initialisatiereeks om een reeks acties uit te voeren:
- Het C2-adres laden vanuit een architectuur met meerdere lagen met één primair kanaal en vijf alternatieve mechanismen
- Anti-debugging- en anti-VM-beveiligingen instellen die controleren of analysetools actief zijn
- De procesnaam verbergen
- Doorzettingsvermogen installeren
- Lancering van verschillende submodules om DDoS-aanvallen uit te voeren, concurrerende processen te beëindigen, C2-kanalen tot stand te brengen via IRC, HTTP, DNS en P2P, scanners uit te voeren voor Telnet, SSH, HTTP en Android Debug Bridge (ADB), een SOCKS5-proxy voort te brengen en een tijdelijke aanduiding voor cryptocurrency-mining uit te voeren
Met name de speciale HTTP-scanner kan op elk moment maximaal 128 gelijktijdige verbindingen beheren, met als doel kwetsbare webinterfaces te ontdekken. Volharding daarentegen wordt bereikt door middel van een systeemservice, cron-invoer en een watchdog keepalive-proces om ervoor te zorgen dat TuxBot operationeel blijft op de aangetaste machine.
“Meerdere bestanden bevatten ruwe LLM-gedachte-redeneringen die woordelijk in de commentaren zijn achtergelaten”, aldus Unit42. “Deze opmerkingen zijn de interne redenering van de LLM terwijl deze werkte via porteringstaken. Deze redenering is compleet met zelfonderbrekingen, beslissingen en verwijzingen naar ‘de gebruiker’ (dat wil zeggen de ontwikkelaar die de LLM heeft gevraagd).”
Hoewel TuxBot v3 Evolution een botnet is dat in ontwikkeling is, signaleren de kernfuncties, in combinatie met de afhankelijkheid van AI, een versnelde integratie van functies, waardoor tegelijkertijd wat lijkt op een enkele ontwikkelaar in staat wordt gesteld om te komen met een veelzijdige toolset met meerdere C2-kanalen, een aangepaste exploit-VM en een Go-gebaseerd DDoS-for-hire-paneel.
“Gedeelde infrastructuur met Kaitori v3.9 en AISURU-tooling plaatst de TuxBot-operator binnen het Keksec-ecosysteem”, concludeerde Unit 42. “Deze groep staat bekend om het parallel draaien van meerdere IoT-botnetvarianten. TuxBot lijkt een andere variant in dat portfolio te zijn. Het is er een die verder wil gaan dan de gebruikelijke Mirai-fork met zijn gecodeerde C2, zijn DGA en een modulair exploitsysteem, ook al werkt dat systeem nog niet in de versie die we hebben hersteld.”
De onthulling volgt op de opkomst van twee andere botnets, RustDuck en AryStinger, die zich hebben gericht op routers, IP-camera’s, Android-boxen en slecht beveiligde servers om ze te coöpteren in een netwerk dat is gebouwd om online diensten offline te maken en verkenningen uit te voeren.