Експерти Qualys Threat Research Unit (TRU) зафіксували різке зростання автоматизованих ботнет-атак на базі Mirai, Gafgyt та Mozi, спрямованих на PHP-сервери, IoT-пристрої та хмарні шлюзи. Атаки походять з хмар AWS, Google Cloud, Azure, Digital Ocean та Akamai, де зловмисники маскуються за легітимними сервісами. Цільові вразливості: CVE-2017-9841 (PHPUnit RCE), CVE-2021-3129 (Laravel RCE), CVE-2022-47945 (ThinkPHP RCE) для PHP; CVE-2022-22947 (Spring Cloud Gateway), CVE-2024-3721 (TBK DVR) для IoT. Тактика включає запит “/?XDEBUG_SESSION_START=phpstorm” для активації Xdebug у продакшені, витік ключів та токенів. Ботнети тепер використовують credential stuffing, AI-скрейпінг, спам та фішинг, уникаючи геоблоків.

Вплив величезний: ботнет AISURU (TurboMirai) генерує DDoS >20 Tbps, проксі для анонімності. Рекомендації: оновлювати ПЗ, видаляти debug-інструменти з продакшену, захищати секрети (AWS Secrets Manager, Vault), обмежувати публічний доступ до хмар. BeyondTrust наголошує: навіть новачки завдають шкоди за допомогою готових кітів. Атаки еволюціонують, перетворюючи ботнети на інструменти ідентифікаційної безпеки.