Nesse artigo do blog Dolutech, exploramos uma nova ameaça cibernética crítica que está impactando servidores de IA ao redor do mundo. Uma variante evoluída do botnet Flodrix foi descoberta explorando ativamente uma vulnerabilidade crítica no Langflow para orquestrar ataques DDoS devastadores.
O Que é o Botnet Flodrix?
O Flodrix representa uma evolução significativa do botnet LeetHozer, originalmente vinculado ao grupo Moobot. Esta nova variante incorpora técnicas avançadas de evasão que incluem auto-remoção discreta, eliminação de rastros forenses e ofuscação sofisticada de endereços de servidores de comando e controle (C2).
Identificamos que este botnet evoluído agora suporta novos tipos de ataques DDoS criptografados, adicionando uma camada extra de ofuscação que dificulta significativamente a detecção e análise por parte das equipes de segurança.
CVE-2025-3248: A Vulnerabilidade Crítica no Langflow
Características Técnicas da Falha
A vulnerabilidade explorada pelo Flodrix, designada como CVE-2025-3248, possui uma pontuação CVSS de 9.8 – classificada como crítica. Esta falha afeta o Langflow, uma estrutura Python amplamente adotada para construção de aplicações de IA, com mais de 70.000 estrelas no GitHub.
A vulnerabilidade reside no endpoint /api/v1/validate/code do Langflow, que falha em implementar autenticação adequada e validação de entrada. Nesse artigo do blog Dolutech, destacamos que o endpoint executa impropriamente a função exec() do Python em código fornecido pelo usuário, sem autenticação ou sandboxing adequados.
Mecanismo de Exploração
Pesquisadores da Trend Micro revelaram que os atacantes utilizam provas de conceito (PoC) publicamente disponíveis para:
- Reconhecimento: Varredura da internet por instâncias vulneráveis do Langflow
- Exploração: Envio de requisições HTTP maliciosas para o endpoint vulnerável
- Implantação: Execução de scripts downloaders que instalam o malware Flodrix
- Persistência: Estabelecimento de comunicação com servidores C2
Como o Ataque Funciona na Prática
Fase de Infiltração
A Dolutech observou que os cibercriminosos iniciam ataques escaneando a internet por servidores Langflow expostos usando ferramentas como Shodan e FOFA. Uma vez identificadas instâncias vulneráveis, eles exploram a CVE-2025-3248 para obter acesso de shell remoto.
Implantação do Payload
Após conseguir acesso inicial, os atacantes executam comandos de reconhecimento para coletar informações do sistema e então implantam um script downloader – tipicamente nomeado “docker” – que busca e instala o malware Flodrix do servidor 80.66.75.121:25565.
Operação do Botnet
Uma vez instalado, o Flodrix estabelece comunicação com sua infraestrutura de comando e controle através de TCP e da rede Tor. O malware demonstra características altamente evasivas:
- Auto-remoção após execução, a menos que parâmetros específicos sejam atendidos
- Remoção de artefatos forenses para dificultar análises
- Ofuscação XOR de strings para ocultar endereços C2
- Suporte a múltiplos canais de comunicação
Evolução do LeetHozer para Flodrix
Conexão Histórica
A análise da Dolutech revela que o Flodrix é uma evolução direta do botnet LeetHozer, que foi inicialmente descoberto em 2020 como uma variante do Mirai. O LeetHozer já demonstrava conexões com o grupo Moobot, compartilhando recursos de ataque e infraestrutura.
Melhorias Implementadas
A nova variante Flodrix apresenta várias melhorias significativas em relação ao seu predecessor:
- Novos Tipos de Ataque DDoS: Implementação de métodos de ataque adicionais, agora também criptografados
- Cabeçalhos de Resposta Modificados: Alterações nos magic headers do malware
- Configurações Expandidas: Suporte a opções de configuração adicionais
- Enumeração de Processos: Capacidade de listar processos em execução acessando o diretório
/proc
Impacto Global e Estatísticas
Exposição de Servidores
Dados do Censys mostram aproximadamente 466 instâncias do Langflow expostas na internet, com concentração majoritária nos Estados Unidos, Alemanha, Singapura, Índia e China. A Dolutech enfatiza que nem todas essas instâncias são necessariamente vulneráveis, pois suas versões específicas são desconhecidas.
Atividade Maliciosa Observada
A empresa de cibersegurança GreyNoise observou 361 endereços IP maliciosos tentando explorar a CVE-2025-3248, visando principalmente sistemas nos EUA, Austrália, Singapura, Alemanha e México.
Adição ao Catálogo CISA KEV
Em 5 de maio de 2025, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a CVE-2025-3248 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), destacando sua severidade e a urgência de aplicação de patches.
Medidas de Proteção e Mitigação
Atualizações Críticas
A primeira e mais importante medida de proteção é atualizar o Langflow para a versão 1.3.0 ou superior, lançada em 31 de março de 2025. Esta versão corrige a vulnerabilidade crítica.
Medidas de Segurança Complementares
Para organizações que não podem atualizar imediatamente, a Dolutech recomenda:
- Restrição de Acesso à Rede: Implementar firewalls para bloquear acesso público
- Bloqueio do Endpoint: Especificamente bloquear o endpoint
/api/v1/validate/code - Monitoramento de Logs: Vigiar requisições POST suspeitas no endpoint vulnerável
- Isolamento de Rede: Colocar instâncias do Langflow em VPCs isoladas
- Single Sign-On: Implementar SSO quando exposição externa for necessária
Detecção e Resposta
Fornecedores de segurança atualizaram regras de detecção para bloquear tentativas de exploração. A Dolutech aconselha que organizações implementem monitoramento contínuo e mantenham sistemas de resposta a incidentes preparados.
Tendências de Ameaças em Botnets
Evolução Constante
Este incidente exemplifica a evolução contínua das ameaças de botnet. Nesse artigo do blog Dolutech, observamos que os operadores de botnets estão rapidamente adaptando-se para explorar novas tecnologias, especialmente ferramentas de IA que se tornaram populares.
Redução do Tempo de Exploração
A velocidade com que a CVE-2025-3248 foi explorada após a divulgação pública demonstra a redução dramática nos tempos de exploração que operadores de botnet adotaram para CVEs recém-publicadas.
Foco em Infraestrutura de IA
A Dolutech identifica uma tendência preocupante: cibercriminosos estão cada vez mais focando em infraestruturas de IA e ferramentas de desenvolvimento modernas, reconhecendo seu valor estratégico.
Impacto no Cenário de Segurança
Lições Aprendidas
Este ataque destaca riscos significativos de executar código dinâmico sem medidas adequadas de autenticação e sandboxing. Para desenvolvedores e organizações que utilizam ferramentas de IA, é crucial abordar recursos de validação de código com extrema cautela.
Recomendações para o Setor
A Dolutech recomenda que o setor de tecnologia adote práticas mais rigorosas ao desenvolver ferramentas de IA expostas à internet:
- Implementação de autenticação robusta por padrão
- Sandboxing obrigatório para execução de código dinâmico
- Validação rigorosa de entrada
- Testes de segurança regulares
- Monitoramento contínuo de ameaças
Conclusão
A nova variante do botnet Flodrix representa uma ameaça significativa ao cenário de segurança cibernética atual. Sua capacidade de explorar vulnerabilidades em ferramentas de IA populares como o Langflow demonstra a evolução sofisticada das ameaças modernas.
Nesse artigo do blog Dolutech, enfatizamos que organizações devem priorizar a aplicação imediata de patches de segurança, especialmente para ferramentas de IA expostas à internet. A implementação de medidas de segurança em camadas e monitoramento contínuo são essenciais para proteger contra esta e futuras ameaças similares.
Continuaremos monitorando a evolução desta ameaça e fornecendo atualizações conforme novas informações se tornarem disponíveis. A colaboração entre a comunidade de segurança cibernética permanece fundamental para combater efetivamente ameaças emergentes como o botnet Flodrix.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
