Sebuah kampanye malware baru berbasis Mirai dilaporkan sedang secara aktif mengeksploitasi CVE-2025-29635. Ini merupakan kerentanan injeksi perintah dengan tingkat keparahan tinggi yang memengaruhi router D-Link seri DIR-823X, yang digunakan penyerang untuk merekrut perangkat ke dalam jaringan botnet.
Kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah arbitrer pada perangkat jarak jauh hanya dengan mengirimkan permintaan POST ke titik akhir (endpoint) yang rentan, sehingga memicu Eksekusi Perintah Jarak Jauh (Remote Command Execution/RCE).
Penemuan oleh Akamai SIRT
Tim SIRT dari Akamai yang mendeteksi kampanye Mirai ini pada awal Maret 2026 melaporkan bahwa meskipun celah keamanan ini pertama kali diungkapkan 13 bulan yang lalu oleh peneliti keamanan Wang Jinshuai dan Zhao Jiangting, ini adalah pertama kalinya upaya eksploitasi aktif teramati di alam liar (in the wild).
“SIRT Akamai menemukan upaya eksploitasi aktif dari kerentanan injeksi perintah D-Link CVE-2025-29635 di jaringan honeypot global kami pada awal Maret 2026,” urai laporan Akamai.
Kerentanan ini bersarang di router D-Link seri DIR-823X pada versi firmware 240126 dan 24082. Penyerang yang berwenang dapat mengirimkan permintaan POST ke titik akhir /goform/set_prohibiting untuk mengeksekusi perintah. Para peneliti yang menemukan celah tersebut sebelumnya sempat memublikasikan kode eksploitasi Proof-of-Concept (PoC) di GitHub, sebelum akhirnya menariknya kembali.
Cara Kerja dan Varian “tuxnokill”
Berdasarkan pengamatan Akamai, penyerang melancarkan aksinya dengan mengirimkan permintaan POST yang berfungsi untuk berpindah direktori melintasi jalur yang dapat ditulis (writable paths). Mereka kemudian mengunduh skrip shell (dlink.sh) dari alamat IP eksternal dan mengeksekusinya.
Skrip berbahaya tersebut secara otomatis akan menginstal malware berbasis Mirai yang dijuluki “tuxnokill”, yang dirancang untuk mendukung berbagai arsitektur perangkat.
Dalam hal kemampuan ofensif, malware ini dibekali dengan persenjataan serangan Distributed Denial-of-Service (DDoS) standar milik Mirai, yang mencakup:
- Banjir paket TCP SYN/ACK/STOMP
- Banjir paket UDP (UDP floods)
- HTTP null
Selain D-Link, Akamai juga menemukan bahwa aktor ancaman di balik kampanye ini turut mengeksploitasi CVE-2023-1389 (yang memengaruhi router TP-Link) dan kerentanan RCE terpisah pada router ZTE ZXV10 H108L. Pola serangan yang sama teramati di semua target tersebut, yang selalu berujung pada penyebaran muatan Mirai.
Risiko Perangkat End of Life (EoL)
Mimpi buruk bagi para pemilik router D-Link ini adalah fakta bahwa perangkat yang terdampak telah mencapai akhir masa pakainya (End of Life/EoL) pada bulan November 2024.
Ini berarti firmware terbaru yang tersedia untuk model tersebut tidak mengatasi CVE-2025-29635. Mengingat D-Link memiliki kebijakan ketat untuk tidak membuat pengecualian pembaruan bagi perangkat EoL meskipun terjadi eksploitasi aktif, kemungkinan besar vendor tidak akan pernah menyediakan tambalan (patch) perbaikan untuk model ini.
Sebagai langkah pengamanan, pengguna router yang telah mencapai masa EoL sangat direkomendasikan untuk segera memutakhirkan perangkat keras mereka ke model baru yang masih menerima pembaruan keamanan secara rutin. Sementara itu, untuk memitigasi risiko, pengguna disarankan untuk menonaktifkan portal administrasi jarak jauh jika tidak diperlukan, mengubah kata sandi admin bawaan segera, dan terus memantau sistem dari perubahan konfigurasi yang tidak wajar.