新たなMiraiの亜種、生産終了のD-Linkルーターを標的に（CVE-2025-29635）

新たなMiraiの亜種、生産終了のD-Linkルーターを標的に（CVE-2025-29635）

Help Net Security – April 22, 2026

D-Link製ルーターの脆弱性CVE-2025-29635を介して拡散する新たなMirai系ボットネットマルウェア「tuxnokill」について、Akamaiが報告。このマルウェアには、「AI.NEEDS.TO.DIE（AIは死すべき）」という珍しいメッセージがハードコードされており、バイブコーティングではなく旧来の手法でコーディングされたものとみられるという。

Akamaiは、同社のグローバルなハニーポット・ネットワークへのアクセス状況を分析した結果、tuxnokillがCVE-2025-29635を利用して拡散していることを発見。この脆弱性は2025年3月に公開されたD-Link DIR-823Xルーター（ファームウェアバージョン240126および24082）に存在するコマンドインジェクションの脆弱性で、これまで1年間の間、攻撃での悪用は報告されていなかった。なお、デバイスは昨年生産終了となっており、メーカーからのソフトウェア更新は提供されていない。

CVE-2025-29635のPoCエクスプロイトは過去に研究者によってGitHubに共有されていたが、現在までに削除されている。tuxnokillの拡散に用いられたエクスプロイトとGitHub上のエクスプロイトには主要な相違点があったものの、いずれも同一の脆弱なコードパスを標的としており、同一のシステムコールをトリガーしていたとAkamaiは説明している。

Akamaiはこのほか、攻撃者が脆弱性CVE-2023-1389を通じてTP-Link Archer AX21デバイスを調査する様子や、出回っているエクスプロイトを利用してZTE ZXV10 H108Lルーターを偵察する様子も観測している。

Akamaiによる報告の数日前には別のMirai系ボットネットマルウェア「Nexcorium」がTBK Visionのデジタルビデオレコーダー（DVN）を標的にしていることが報告されるなど、IoT機器におけるセキュリティが引き続き課題となっている。Fortinetによって発見されたこのボットネットキャンペーンは「Nexus Team」と名乗るグループによるもので、脆弱性CVE-2024-3721を通じてTBK DVNへの感染を広げるとされる。

tuxnokillとNexcorium、いずれのキャンペーンにおいても、「安価でサポートの切れたパッチ未適用のIoTハードウェアを既知の脆弱性経由で攻撃する」というよく知られた、けれど効果的な手口が用いられている。こうして感染したデバイスはボットネットに組み込まれ、その後DDoS攻撃の実行時などに悪用されることになる。

サポートの終了した機器がいまだに使用されていること、パッチ適用サイクルが非常に遅いこと、また認証情報がデフォルトのもののまま更新されていないことにより、ボットネット運用者にとって世界中の家庭・企業ネットワークへ不正に侵入しやすい状況が生まれているという。

Akamaiは組織や企業に対し、自組織のインフラに関連する脆弱性の開示状況を常時モニタリングすること、適切にパッチ適用やアップグレード・セーフガードの適用を行うことを推奨している。