Botnet Mirai Incar Ruter TP-Link Lawas

Botnet Mirai Incar Ruter TP-Link Lawas – Para penjahat siber kini tengah aktif membidik sejumlah model router Wi-Fi TP-Link lawas yang telah memasuki masa akhir dukungan (end-of-life).

Serangan ini bertujuan untuk menanamkan malware botnet berbasis Mirai pada perangkat yang rentan. Kerentanan yang diidentifikasi sebagai CVE-2023-33538 ini menjadi sangat berbahaya.

Karena perangkat-perangkat tersebut tidak lagi menerima pembaruan keamanan dari vendor, sehingga pengguna tidak memiliki tambalan (patch) resmi untuk diterapkan.

Beberapa model yang terdampak antara lain TL-WR940N (versi 2 dan 4), TL-WR740N (versi 1 dan 2), serta TL-WR841N (versi 8 dan 10).

Perangkat-perangkat ini berbagi kelemahan yang sama pada antarmuka manajemen web mereka, di mana parameter tertentu dalam permintaan HTTP GET tidak diperiksa dengan benar terhadap konten berbahaya.

Kelalaian dalam validasi input ini memberikan celah bagi penyerang untuk menyuntikkan dan menjalankan perintah pada ruter tanpa memicu peringatan apa pun.

Mekanisme Injeksi Perintah

Serangan ini bekerja dengan cara mengirimkan permintaan HTTP GET berbahaya ke titik akhir (endpoint) /userRpm/WlanNetworkRpm.

Perintah-perintah tersebut disematkan di dalam parameter ssid, yang kemudian diproses oleh firmware ruter tanpa penyaringan input yang memadai.

Begitu ruter menerima permintaan tersebut, perintah yang disuntikkan akan menginstruksikan perangkat untuk:

Mengunduh biner ELF bernama arm7 dari server jarak jauh.
Memberikan izin eksekusi penuh pada file tersebut.
Menjalankannya seketika untuk menginfeksi sistem.

Peneliti keamanan mendeteksi aktivitas ini dalam skala besar setelah CISA memasukkan CVE-2023-33538 ke dalam katalog Kerentanan yang Diketahui Telah Dieksploitasi (KEV) pada Juni 2025.

Biner arm7 yang diunduh merupakan varian dari malware botnet IoT bernama Condi, sebuah keluarga botnet berbasis Mirai yang telah dikaitkan dengan berbagai kampanye siber sebelumnya.

Setelah aktif, malware ini akan menghubungkan ruter ke server perintah dan kontrol (C2) dengan domain cnc.vietdediserver[.]shop.

Analisis Teknis

Setelah berhasil menguasai perangkat, biner arm7 menjalankan serangkaian tugas terstruktur untuk mempertahankan keberadaannya dan memperluas jaringan botnet.

Malware ini menunggu perintah pola byte tertentu dari server C2 dan meresponsnya dengan mengirimkan sinyal detak jantung (heartbeat), memicu pembaruan diri, serta meluncurkan fungsi server HTTP internal.

Salah satu perilaku yang mencolok adalah rutinitas pembaruan mandiri melalui fungsi update_bins(). Biner ini akan terhubung kembali ke alamat IP yang telah dikodekan secara keras (hard-coded) di dalamnya untuk menarik salinan terbaru yang dibuat untuk delapan arsitektur CPU yang berbeda.

Termasuk ARM6, MIPS, SH4, dan x86_64. Hal ini memastikan malware dapat menyebar ke berbagai jenis perangkat keras lainnya dengan arsitektur yang berbeda.

Selain itu, biner arm7 menjalankan server HTTP pada ruter yang terinfeksi menggunakan port acak antara 1024 dan 65535.

Server ini berfungsi sebagai distributor untuk mengirimkan salinan malware baru ke perangkat lain yang terhubung dengannya, memungkinkan setiap inang yang terinfeksi untuk merekrut korban baru secara otomatis tanpa campur tangan penyerang.

Kelalaian Penyerang dan Realitas Kerentanan

Menariknya, meskipun serangan ini dilakukan secara masif, peneliti menemukan adanya kesalahan teknis dalam upaya eksploitasi di lapangan.

Penyerang menargetkan parameter ssid, padahal parameter yang benar-benar rentan adalah ssid1. Selain itu, perintah yang mereka suntikkan sangat bergantung pada utilitas wget, yang sebenarnya tidak ada dalam lingkungan BusyBox ruter yang terbatas tersebut.

Kendati demikian, tim peneliti menegaskan bahwa kerentanan ini sangat nyata. Penyerang yang lebih teliti dengan menggunakan parameter yang tepat dapat dengan mudah mengeksploitasi celah ini dengan sukses.

Mitigasi dan Langkah Pencegahan

Karena TP-Link telah mengonfirmasi bahwa perangkat yang terdampak sudah tidak lagi didukung, tidak akan ada tambalan keamanan yang dirilis.

Oleh karena itu, para ahli keamanan merekomendasikan langkah-langkah berikut:

Pengguna sangat disarankan untuk mengganti ruter model lama ini dengan perangkat keras terbaru yang masih menerima pembaruan keamanan rutin.
Eksploitasi celah ini memerlukan akses autentikasi ke antarmuka web ruter. Segera ubah kredensial admin:admin bawaan dengan kata sandi yang kuat dan unik.
Solusi keamanan seperti ESET dapat membantu memantau lalu lintas jaringan dan memblokir upaya komunikasi ke domain C2 yang diketahui berbahaya, serta mendeteksi aktivitas pemindaian anomali pada jaringan internal.
Administrator jaringan harus memantau adanya koneksi mencurigakan ke alamat IP atau domain yang terkait dengan botnet Mirai dan segera menghentikan penggunaan ruter TP-Link yang terdampak.

Kasus CVE-2023-33538 menjadi pengingat penting mengenai risiko penggunaan perangkat “Warisan” (Legacy) yang sudah tidak didukung vendor.

Di tahun 2026, perangkat IoT yang terabaikan menjadi sasaran empuk bagi botnet global untuk membangun infrastruktur serangan yang masif.

Melakukan pembaruan perangkat keras secara berkala bukan lagi sekadar pilihan, melainkan keharusan untuk menjaga integritas dan keamanan jaringan digital Anda.

Baca artikel lainnya: