TuxBot v3 Evolution: KI-Botnet mit 30 IoT-Zielen entdeckt
Veröffentlicht: 16.07.2026 um 12:48 Uhr, Redaktion boerse-global.de
Sicherheitsforscher von Palo Alto Networks haben eine neue Botnet-Software entdeckt, die mit Hilfe Künstlicher Intelligenz entwickelt wurde.
Die Analyse des Frameworks TuxBot v3 Evolution förderte einen kuriosen Fund zutage: Die Entwickler vergaßen offenbar, KI-interne Sicherheitshinweise und Gedankenketten-Kommentare aus dem Quellcode zu entfernen. Diese verraten, dass große Sprachmodelle (LLMs) bei der Programmierung halfen.
Botnet-as-a-Service für IoT-Geräte
Das Framework ist als Dienstleistungsplattform konzipiert. Es besteht aus einem Go-basierten Kommando- und Kontrollsystem (C2) sowie einem DDoS-Angriffsportal. Der eigentliche Schadcode ist in C geschrieben und lässt sich für 17 verschiedene Prozessorarchitekturen kompilieren – darunter ARM, MIPS, x86_64, RISC-V und PowerPC.
Die Infektion erfolgt primär über einen Telnet-Brute-Force-Angriff. Die Software probiert dabei 1.496 verschiedene Zugangsdaten aus. Zusätzlich scannt sie nach Schwachstellen in SSH, HTTP und der Android Debug Bridge (ADB). Insgesamt können mehr als 30 verschiedene IoT-Gerätefamilien geknackt werden.
Hochsichere Kommunikation und Tarnung
Die C2-Infrastruktur setzt auf verschlüsselte TCP-Verbindungen über die Ports 1999, 2222, 9999 und 31337. Zum Einsatz kommen die modernen Verschlüsselungsstandards X25519 und ChaCha20-Poly1305.
Fällt der primäre Server aus, springen mehrere Ausweichkanäle ein: Domain-Generierungs-Algorithmen, Peer-to-Peer-Netzwerke, IRC, DNS und HTTP. Das macht das Botnet besonders widerstandsfähig gegen Abschaltversuche.
Die Entdeckung von KI-generierten Botnets wie TuxBot zeigt, dass Cyberkriminelle neue Technologien rasant für ihre Zwecke adaptieren. Dieses kostenlose E-Book enthüllt, welche rechtlichen Pflichten und Bedrohungen durch neue KI-Gesetze und Cyberrisiken jetzt auf Unternehmer zukommen. Gratis-Report zu KI-Gesetzen und Cyberrisiken herunterladen
Um nach einem Neustart aktiv zu bleiben, integriert sich TuxBot v3 in systemd und cron-Dienste. Es nutzt Hardware-Watchdogs und tarnt sich mit harmlosen Prozessnamen und versteckten Dateien.
Noch in der Entwicklung
Trotz der ausgeklügelten Architektur ist das Botnet noch nicht voll einsatzbereit. Mehrere Module – besonders jene für DDoS-Angriffe – waren in den analysierten Proben defekt oder funktionslos. Bislang gibt es keine bestätigten Angriffe mit diesem Framework. Die Sicherheitsexperten stufen die Bedrohung als mittelschwer ein.
Immer mehr Unternehmen werden Opfer von automatisierten Cyberangriffen, die gezielt nach Schwachstellen in der Infrastruktur suchen. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihre Firma ohne teure Investitionen effektiv absichern. Kostenloses Cyber-Security E-Book sichern
Die Code-Analyse zeigt Verbindungen zu bekannten Schadprogrammen wie Mirai und AISURU. Einige Komponenten lassen sich bis nach Wuhan zurückverfolgen. Der Betreiber des Botnets wird dem Keksec-Cyberkriminalitäts-Ökosystem zugeordnet.
Die erste Probe von TuxBot v3 wurde bereits am 20. Januar 2026 auf der Plattform VirusTotal hochgeladen. Experten raten Unternehmen, IoT-Geräte mit starken, individuellen Passwörtern zu schützen und die Firmware regelmäßig zu aktualisieren.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
