Varian Mirai Nexcorium Eksploitasi CVE-2024-3721 Bobol TBK DVR Jadi Botnet DDoS

Varian Mirai Nexcorium kini sedang mengeksploitasi CVE-2024-3721, sebuah kerentanan injeksi perintah dengan tingkat keparahan sedang (CVSS 6.3), yang berimbas pada perangkat perekam video digital (DVR) TBK tipe DVR-4104 dan DVR-4216. Penemuan ini diungkap oleh Fortinet FortiGuard Labs dan Palo Alto Networks Unit 42, yang mengungkap bagaimana aktor ancaman memanfaatkan celah tersebut untuk membajak perangkat dan memasang varian botnet Mirai yang dinamai Nexcorium.

Eksploitasi Kerentanan TBK DVR dan Serangan Botnet Nexcorium

Menurut peneliti keamanan Vincent Li, "Perangkat IoT semakin menjadi target utama serangan besar-besaran karena penggunaan yang meluas, minimnya pembaruan keamanan, dan pengaturan keamanan yang lemah." Ia menjelaskan bahwa aktor jahat terus memanfaatkan kerentanan yang sudah diketahui untuk mendapatkan akses awal, menginfeksi perangkat dengan malware yang mampu bertahan dan menyebar, serta melancarkan serangan DDoS (Distributed Denial of Service).

Serangan ini menggunakan CVE-2024-3721 untuk menyisipkan skrip pengunduh yang selanjutnya mengeksekusi payload botnet sesuai dengan arsitektur sistem Linux pada perangkat korban. Setelah terinfeksi, perangkat menampilkan pesan "nexuscorp has taken control", menunjukkan bahwa Nexcorium telah menguasai sistem.

Fortinet menjelaskan, "Nexcorium memiliki arsitektur mirip dengan varian Mirai, termasuk inisialisasi tabel konfigurasi yang dikodekan XOR, modul watchdog, dan modul serangan DDoS." Selain itu, malware ini juga menyertakan eksploitasi CVE-2017-17215 untuk menyerang perangkat Huawei HG532 yang terhubung dalam jaringan, serta memiliki daftar username dan password bawaan yang digunakan untuk serangan brute-force melalui koneksi Telnet.

Metode Infeksi dan Persistensi Malware Nexcorium

Jika login Telnet berhasil, malware akan mencoba memperoleh akses shell, membuat mekanisme persistensi dengan crontab dan layanan systemd, serta menghubungi server eksternal untuk menerima perintah serangan DDoS melalui protokol UDP, TCP, dan SMTP. Setelah sukses memasang persistensi, malware akan menghapus file biner asli agar sulit dianalisis lebih lanjut.

Fortinet menegaskan, "Malware Nexcorium menunjukkan ciri khas botnet IoT modern dengan kombinasi eksploitasi kerentanan, dukungan multi-arsitektur, dan berbagai metode bertahan untuk memastikan akses jangka panjang ke sistem yang terinfeksi." Penggunaan eksploit lama dan kemampuan brute-force yang luas menandakan adaptabilitas tinggi malware ini dalam memperluas jangkauan infeksinya.

Kerentanan TP-Link EoL dan Risiko Botnet Mirai

Selain itu, Unit 42 juga mendeteksi pemindaian dan percobaan eksploitasi CVE-2023-33538 (skor CVSS 8.8) terhadap router Wi-Fi TP-Link yang sudah berstatus end-of-life (EoL). Meski serangan ini menggunakan metode yang cacat sehingga belum berhasil mengkompromikan perangkat, kerentanan ini tetap nyata dan sudah masuk dalam daftar Kerentanan yang Sering Dieksploitasi (Known Exploited Vulnerabilities - KEV) oleh CISA sejak Juni 2025.

Router yang terdampak antara lain model TL-WR940N v2 dan v4, TL-WR740N v1 dan v2, serta TL-WR841N v8 dan v10. Para peneliti menjelaskan, "Eksploitasi sukses memerlukan autentikasi ke antarmuka web router."

Upaya serangan ini bertujuan menyebarkan malware botnet Mirai yang berisi kode sumber dengan referensi string "Condi". Malware ini juga memiliki kemampuan memperbarui dirinya sendiri dan menjalankan server web untuk menularkan infeksi ke perangkat lain yang terhubung.

Karena perangkat TP-Link yang terdampak sudah tidak didukung lagi secara resmi, pengguna disarankan menggantinya dengan model yang lebih baru dan memastikan tidak menggunakan kredensial default yang mudah ditebak.

Langkah Pencegahan dan Implikasi Keamanan IoT

• Segera perbarui atau ganti perangkat TBK DVR dan router TP-Link EoL yang rentan.
• Jangan gunakan username dan password bawaan perangkat; gunakan kredensial yang kuat dan unik.
• Matikan layanan yang tidak diperlukan seperti Telnet jika memungkinkan.
• Monitor aktivitas jaringan untuk mendeteksi pola serangan botnet dan pemindaian mencurigakan.
• Aktifkan pembaruan keamanan otomatis untuk perangkat IoT jika didukung.

Analisis Redaksi

Menurut pandangan redaksi, eksploitasi varian Mirai Nexcorium yang memanfaatkan CVE-2024-3721 ini menegaskan bahwa perangkat IoT dan router yang sudah usang menjadi pintu masuk favorit para pelaku kejahatan siber untuk melancarkan serangan botnet DDoS berskala besar. Langkah mitigasi yang terlambat atau pengabaian pembaruan keamanan memperparah risiko ini.

Selain itu, penggunaan serentak eksploitasi lama dan teknik brute-force pada Nexcorium menunjukkan bahwa pelaku tidak hanya mengandalkan satu metode, melainkan kombinasi strategi untuk memperluas infeksi dan mempertahankan kendali. Hal ini berpotensi meningkatkan durasi dan dampak serangan siber yang sulit dilacak dan diatasi.

Ke depan, publik dan industri harus semakin waspada terhadap keamanan perangkat IoT dan router yang banyak digunakan di rumah maupun kantor. Penggantian perangkat usang dengan produk yang terus mendapat pembaruan keamanan dan pengelolaan kredensial yang ketat menjadi kunci utama menekan risiko serangan botnet. Untuk informasi lebih lengkap dan pembaruan terkini, Anda dapat membaca laporan asli di The Hacker News serta mengikuti laman resmi keamanan siber terpercaya.