Zerobot est un botnet récemment observé qui est capable de s'auto-répliquer et de s'auto-propager, il cible plusieurs vulnérabilités de l'Internet des objets (IoT) pour un accès initial.

À ce jour, Fortinet a identifié deux variantes du botnet, l'une contenant des fonctions de base, et l'autre pouvant se répliquer et cibler davantage de points d'extrémité.

Le logiciel malveillant comprend 21 exploits, y compris du code ciblant les récentes failles Spring4Shell et F5 Big-IP, d'autres vulnérabilités connues et divers défauts de sécurité dans les appareils IoT tels que les routeurs, les caméras de surveillance et les pares-feux.

Zerobot comprend également deux exploits tirés d'un site Web qui prétend partager des vulnérabilités à des fins éducatives.

Une fois qu'un appareil a été compromis, Zerobot se copie sur le système, met en place un module pour empêcher les utilisateurs de perturber son fonctionnement, après quoi il initialise la connexion au serveur de commande et de contrôle (C&C) via le protocole WebSocket et ciblant douze architectures, dont i386, amd64, arm64, arm, mips, mipsle, mips64, mips64le, ppc64, ppc64le, riscv64 et s390x, tout ça en envoyant un fichier JSON contenant les informations de la victime, puis attend les commandes du serveur.

En fonction des commandes reçues, le malware maintient la connexion en vie, lance/arrête les attaques sur différents protocoles, se met à jour et redémarre, recherche les ports ouverts et commence à se propager, exécute des commandes ou tue son processus.