Cybersecurityonderzoekers hebben details vrijgegeven over een nieuw Internet-of-Things (IoT) botnetframework genaamd TuxBot v3 Evolution, dat aanwijzingen vertoont van ontwikkeling met behulp van een groot taalmodel (LLM). Hoewel de AI hielp bij het genereren van botnetcode, bevatte deze een veiligheidswaarschuwing die de ontwikkelaar niet verwijderde voordat de malware werd verspreid, aldus Palo Alto Networks Unit 42. Diverse functies in de geanalyseerde samples werkten bovendien niet correct.

Volgens het beveiligingsbedrijf hadden deze fouten kunnen worden opgelost met een handmatige code-review, en het is mogelijk dat er meer uitgewerkte versies van de malware in het wild circuleren. Het botnetframework bestaat uit meerdere componenten: een C-gebaseerde botagent die voor diverse architecturen wordt gecompileerd (zoals ARM, MIPS, x86_64 en RISC-V), een Go-gebaseerde command-and-control (C2) server met een DDoS-for-hire paneel, een aangepaste exploit-virtuele machine, een Docker-gebaseerde testinfrastructuur en een geautomatiseerd build-systeem.

De botagent is ontworpen om via brute-force Telnet-toegang te verkrijgen met 1.496 credentialcombinaties en bevat exploitcode voor meer dan 30 IoT-apparaatfamilies met bekende kwetsbaarheden. Communicatie met de C2-server verloopt via een versleuteld TCP-kanaal, met een SHA512 domeingeneratie-algoritme, peer-to-peer gossip-protocol met Ed25519-ondertekende commando's, IRC, DNS TXT-queries en HTTP-polling als fallback.

De herkomst van het modulaire framework is terug te voeren op drie verschillende botnets, waaronder Mirai, AISURU en Wuhan, en bevat gedeeltelijk functies overgenomen uit de open-source MHDDoS Python DDoS toolkit. Ten minste één sample van de malware werd op 20 januari 2026 geüpload naar VirusTotal, wat aangeeft dat het botnet al meer dan zes maanden actief is. De ontwikkeling begon vermoedelijk een jaar eerder, toen de auteur de MHDDoS-repository kloonde van GitHub.

Volgens onderzoekers Chris Navarrete, Asher Davila en Doel Santos bouwde de ontwikkelaar een professioneel C2-framework met een multi-user adminpaneel, geautomatiseerde uitrol en modulaire aanvalsmogelijkheden. De Go-gebaseerde C2-server gebruikt drie TCP-poorten voor inkomende verbindingen: poort 1999 (of 31337) voor versleutelde commando’s, poort 2222 voor een interactieve SSH-shell en poort 9999 met een JSON-interface voor programmatische toegang.

Na opstart volgt het botnet een vooraf bepaalde initialisatie, waaronder het laden van het C2-adres via een meerlaagse architectuur, het instellen van anti-debugging en anti-VM maatregelen, het verbergen van het proces, het installeren van persistentie en het starten van submodules voor DDoS-aanvallen, het beëindigen van concurrerende processen, het opzetten van C2-kanalen via IRC, HTTP, DNS en P2P, het scannen van Telnet, SSH, HTTP en Android Debug Bridge (ADB), het opzetten van een SOCKS5-proxy en het uitvoeren van een placeholder voor cryptomining.

De HTTP-scanner kan tot 128 gelijktijdige verbindingen aan en richt zich op het vinden van kwetsbare webinterfaces. Persistentie wordt gerealiseerd via een systemd-service, cron-taken en een watchdog-proces om TuxBot operationeel te houden op geïnfecteerde systemen. Unit 42 merkte op dat meerdere bestanden ruwe LLM chain-of-thought redeneringen bevatten die onveranderd in commentaarregels zijn achtergelaten, wat wijst op de rol van het taalmodel in de ontwikkeling van de malware. Meer details zijn te vinden in het uitgebreide rapport van Palo Alto Networks Unit 42.