ShadowV2: Botnet Mirai Baru yang Manfaatkan Gangguan AWS untuk Uji Coba Serangan
Peneliti Fortinet FortiGuard Labs mengungkap kemunculan ShadowV2, varian botnet baru berbasis Mirai yang secara agresif menargetkan perangkat IoT dari berbagai merek seperti D-Link, TP-Link, DigiEver, DD-WRT, dan TBK.
Menariknya, aktivitas botnet ini hanya muncul selama gangguan besar AWS pada Oktober 2025, yang diduga dijadikan pelaku sebagai momen uji coba tanpa keterkaitan langsung dengan insiden AWS tersebut.
Memanfaatkan 8 Kerentanan IoT yang Sudah Dikenal
ShadowV2 menyebar dengan mengeksploitasi sejumlah CVE lama maupun baru, termasuk:
- DD-WRT – CVE-2009-2765
- D-Link – CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915
- DigiEver – CVE-2023-52163
- TBK – CVE-2024-3721
- TP-Link – CVE-2024-53375
Dua kerentanan D-Link (10914 & 10915) khususnya berbahaya karena berdampak pada perangkat end-of-life yang tidak akan diperbaiki oleh vendor. Hal ini membuat perangkat tersebut menjadi target empuk ShadowV2 dan botnet lainnya.
Kerentanan TP-Link yang dieksploitasi (CVE-2024-53375) dilaporkan sudah diperbaiki melalui rilis firmware beta.
Serangan Global Melintasi Banyak Sektor
ShadowV2 diluncurkan dari alamat 198[.]199[.]72[.]27, menargetkan router, NAS, dan DVR dari berbagai sektor:
- Pemerintahan
- Teknologi
- Manufaktur
- MSSP
- Telekomunikasi
- Pendidikan
- Infrastruktur
Distribusi serangannya bersifat global, mencakup Amerika Utara & Selatan, Eropa, Afrika, Asia, hingga Australia.
Mirip Mirai LZRD, dengan Mekanisme Infeksi Modern
Botnet ini mengidentifikasi dirinya sebagai:
“ShadowV2 Build v1.0.0 IoT version”
Metode infeksi dilakukan melalui script downloader binary.sh, yang mengambil payload dari:
81[.]88[.]18[.]108
ShadowV2 menyembunyikan konfigurasi penting dengan encoding XOR, termasuk:
- path filesystem
- User-Agent
- header HTTP
- string khas Mirai
Dilengkapi Kemampuan DDoS Lengkap
ShadowV2 dapat melancarkan serangan DDoS besar melalui:
- UDP flood
- TCP flood
- HTTP flood
C2 botnet akan mengirimkan perintah DDoS langsung ke bot IoT yang terinfeksi.
Hingga kini, tujuan finansial atau profil operator ShadowV2 masih belum diketahui. Namun seperti botnet Mirai lain, kemungkinan besar diarahkan untuk:
- jasa sewa DDoS
- pemerasan (extortion) korporasi
- sabotase layanan online
Rekomendasi Keamanan
Fortinet memperingatkan pentingnya:
- Memperbarui firmware perangkat IoT
- Mematikan layanan remote access yang tidak diperlukan
- Mengganti perangkat EoL yang tidak lagi menerima patch
- Memantau aktivitas jaringan yang tidak biasa
Fortinet juga merilis Indicators of Compromise (IoCs) untuk membantu organisasi mendeteksi ancaman ini.
