Darktrace ontdekt nieuw botnet dat zich richt op IoT-bewakingsapparaten

Den Haag, 28 mei 2025 – Onderzoekers van Darktrace hebben een botnet ontdekt dat zich richt op embedded Linux IoT-apparaten. Dit botnet heeft de naam “PumaBot” gekregen. De malware scant omgevingen op de aanwezigheid van Pumatronix, een Braziliaanse fabrikant van bewakings- en verkeerscamerasystemen. PumaBot illustreert een zorgwekkende trend waarin cybercriminelen steeds gerichtere campagnes opzetten om IoT-apparaten en accounts te compromitteren. Met als gevolg mogelijk enorme maatschappelijke chaos als aanvallers daadwerkelijk weten binnen te komen in bijvoorbeeld verkeerssystemen.

De aanvalsketen
In tegenstelling tot typische botnets die het hele internet scannen, haalt deze malware een lijst met doelwitten op van een command-and-control (C2)-server. Vervolgens probeert deze met brute force-aanvallen inloggegevens te kraken. Zodra het een geldige login identificeert, logt het in, implementeert het zichzelf en start het replicatieproces.

Zodra de malware het netwerk heeft gekraakt, vermomt het zich als legitieme software om detectie te voorkomen terwijl het zich verspreidt naar nieuwe doelwitten. Dit doet het bijvoorbeeld door verschillende fingerprintcontroles uit te voeren. Bij dit soort controles worden gegevens over de omgeving van een gebruiker verzameld en geanalyseerd om een uniek profiel of ‘vingerafdruk’ te creëren. Deze vingerafdruk kan onder meer gebruikt worden voor het verifiëren van de identiteit van de gebruiker. De informatie uit deze fingerprintcontroles wordt vervolgens gebruikt om honeypots – een valstrik waar aanvallers naartoe geleid worden – en ongeschikte uitvoeringsomgevingen te vermijden. Daarnaast creëren aanvallers verschillende backdoors waardoor hun activiteit nog lastiger geïdentificeerd kan worden. Dit wijst op een doelbewuste campagne voor langdurige toegang tot deze systemen die de openbare veiligheid kunnen beïnvloeden.

Conclusie
Dit botnet vertegenwoordigt een aanhoudende Secure Shell (SSH)-dreiging die gebruikmaakt van automatisering, brute force-aanvallen en native Linux-tools om controle te krijgen en te behouden over gecompromitteerde systemen. Daarnaast kan het detectie effectief omzeilen door legitieme binaire bestanden na te bootsen en fingerprinting-logica in te bouwen.

Hoewel PumaBot zich niet automatisch lijkt te verspreiden zoals een traditionele worm, vertoont het wel wormachtig gedrag omdat de malware zichzelf wel repliceert en als doel heeft meerdere apparaten te compromitteren. Dit wijst op een semi-geautomatiseerde botnetcampagne gericht op het compromitteren van apparaten en toegang op de lange termijn.

Organisaties die zichzelf tegen dit soort campagnes willen beschermen, kunnen de volgende maatregelen nemen:

• Controleer op afwijkende SSH-inlogactiviteiten, met name mislukte inlogpogingen over een breed IP-bereik, wat kan wijzen op brute force-pogingen.

• Controleer regelmatig de services van systemen. Zoek naar verdachte vermeldingen in /etc/systemd/system (bijvoorbeeld verkeerd gespelde of dubbele services zoals mysql.service) en binaire bestanden op niet-standaardlocaties zoals /lib/redis.

• Controleer de bestanden met authorized_keys van gebruikersaccounts op onbekende SSH-sleutels die ongeautoriseerde toegang mogelijk maken.

• Filter op, of waarschuw bij uitgaande HTTP-verzoeken met niet-standaard headers, zoals X-API-KEY: jieruidashabi. Dit kan wijzen op botnet C2-communicatie.

• Pas strikte firewallregels toe om de blootstelling van SSH te beperken in plaats van port 22 bloot te stellen aan het internet.

Lees hier de volledige Engelse blog voor meer details over de waarnemingen van Darktrace.

Over Darktrace
Darktrace is wereldleider in AI voor cybersecurity en laat organisaties elke dag voorop lopen ten opzichte van het continu veranderende dreigingslandschap. Darktrace is opgericht in 2013 en biedt een cybersecurityplatform dat organisaties beschermt tegen onbekende dreigingen met behulp van zijn eigen AI die in realtime leert van de unieke patronen van elke klant. Het Darktrace ActiveAI Security Platform™ levert een proactieve benadering van cyberveerkracht om bedrijven te beveiligen in hun hele digitale omgeving – van netwerk tot cloud en e-mail. Het biedt preventief inzicht in de beveiligingspositie, realtime dreigingsdetectie en autonome respons. Baanbrekende innovaties van onze R&D-teams in Cambridge, VK, en Den Haag, Nederland, hebben geresulteerd in meer dan 200 ingediende pantentaanvragen. Het platform en de services van Darktrace worden ondersteund voor meer dan 2.400 werknemers over de hele wereld die bijna 10.000 klanten in alle grote sectoren beschermen. Ga voor meer informatie naar http://www.darktrace.com.