Los investigadores de ciberseguridad han llamado la atenci贸n sobre una nueva campa帽a que est谩 explotando activamente una falla de seguridad cr铆tica recientemente revelada en Langflow para entregar el Flodrix Malware Botnet.
芦Los atacantes usan la vulnerabilidad para ejecutar scripts de descarga en servidores Langflow comprometidos, que a su vez obtienen e instalan el malware Flodrix禄, dijeron los investigadores de tendencia aliakbar Zahravi, Ahmed Mohamed Ibrahim, Sunil Bharti y Shubham Singh en un informe t茅cnico publicado hoy.
La actividad implica la explotaci贸n de CVE-2025-3248 (Puntuaci贸n CVSS: 9.8), una vulnerabilidad de autenticaci贸n faltante en Langflow, un 芦marco visual禄 basado en Python para construir aplicaciones de inteligencia artificial (IA).
La explotaci贸n exitosa de la falla podr铆a permitir a los atacantes no autenticados ejecutar c贸digo arbitrario a trav茅s de solicitudes HTTP dise帽adas. Fue parcheado por Langflow en marzo de 2025 con la versi贸n 1.3.0.
El mes pasado, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) marc贸 la explotaci贸n activa de CVE-2025-3248 en la naturaleza, con el Instituto Sans de Tecnolog铆a revelando que detect贸 intentos de exploit contra sus servidores de honeypot.
Los 煤ltimos hallazgos de Trend Micro muestran que los actores de amenazas est谩n apuntando a las instancias de flujo de Langflow expuestas a Internet que aprovechan un c贸digo de concepto de concepto (POC) disponible para llevar a cabo un reconocimiento y soltar un descargador de scripts de shell responsable de recuperar y ejecutar el malware Flodrix Botnet de 芦80.66.75 () 121: 25565禄. 芦
Una vez instalado, Flodrix establece comunicaciones con un servidor remoto para recibir comandos a trav茅s de TCP para lanzar ataques distribuidos de denegaci贸n de servicio (DDoS) contra direcciones IP de inter茅s objetivo. Botnet tambi茅n admite conexiones a trav茅s de la red de anonimato TOR.
芦Dado que Langflow no impone validaci贸n de entrada o sandboxing, estas cargas 煤tiles se compilan y ejecutan dentro del contexto del servidor, lo que lleva a (ejecuci贸n de c贸digo remoto)禄, dijeron los investigadores. 芦Seg煤n estos pasos, el atacante probablemente est茅 perfilando todos los servidores vulnerables y usa los datos recopilados para identificar objetivos de alto valor para futuras infecciones禄.
Trend Micro dijo que identific贸 a los actores de amenaza desconocidos para que organicen diferentes scripts de descarga en el mismo host utilizado para buscar Flodrix, lo que sugiere que la campa帽a est谩 experimentando un desarrollo activo.
Se eval煤a que Flodrix es una evoluci贸n de otra botnet llamada Leethozer que est谩 vinculada al grupo Moobot. La variante mejorada incorpora la capacidad de eliminarse discretamente, minimizar las trazas forenses y complicar los esfuerzos de an谩lisis al ofuscar las direcciones del servidor de comando y control (C2) y otros indicadores importantes.
芦Otro cambio significativo es la introducci贸n de nuevos tipos de ataque DDoS, que ahora tambi茅n est谩n encriptados, agregando una capa adicional de ofuscaci贸n禄, dijo Trend Micro. 芦La nueva muestra tambi茅n enumera notablemente los procesos de ejecuci贸n al abrir /Proc Directory para acceder a todos los procesos de ejecuci贸n禄.
