Ni siquiera necesitan privilegios de administrador: cómo n8n permite a los atacantes pasearse por tus entornos en la nube
Explicamos por qué la costumbre de simplificarlo todo terminó en una catástrofe.
La red maliciosa Zerobot empezó a explotar activamente vulnerabilidades en routers Tenda y en la plataforma de automatización n8n. La campaña fue detectada por el equipo de Akamai en enero de 2026, que registró ataques en su propia red de honeypots. Se trata de los primeros casos confirmados de explotación de estos fallos tras su divulgación en la segunda mitad de 2025.
Zerobot está construido sobre Mirai y apunta a las vulnerabilidades CVE-2025-7544 y CVE-2025-68613. La primera afecta a los routers Tenda AC1206 con la versión de firmware 15.03.06.23. Un desbordamiento de búfer en el manejador setMacFilterCfg permite ejecutar código arbitrario de forma remota mediante el parámetro deviceList. Un ejemplo público de explotación apareció poco después de la divulgación del fallo, lo que facilitó la tarea a los atacantes.
La segunda vulnerabilidad está relacionada con el sistema de procesamiento de expresiones en n8n. Las versiones desde la 0.211.0 hasta la 1.20.4, así como la 1.21.1 y la 1.22.0, permiten ejecutar comandos arbitrarios en el servidor debido a la falta de aislamiento adecuado al evaluar expresiones en los flujos de trabajo. Basta con una cuenta sin privilegios administrativos. Mediante ese mecanismo un atacante puede leer y modificar archivos, obtener variables de entorno con claves API y asentarse en la infraestructura. Dado que n8n se usa frecuentemente para integrar servicios internos y plataformas en la nube, la compromisión crea riesgo de movimiento lateral dentro de la red.
Los analistas de Akamai registraron intentos de descargar el script tol.sh desde la dirección IP 144.172.100.228. El script descarga ejecutables zerobotv9 para varias arquitecturas y los ejecuta. El módulo malicioso está empaquetado con UPX, contiene cadenas cifradas y se conecta al dominio de control 0bot.qzz.io. En el código aparece la cadena característica de arranque de Mirai y un conjunto de user-agents integrados para camuflar el tráfico.
Según el informe, los operadores iniciaron la campaña a más tardar en diciembre de 2025, usando primero netcat y socat para descargar la carga útil, y luego cambiaron a curl y wget. Además de las vulnerabilidades nuevas, Zerobot escanea problemas antiguos, incluidos CVE-2017-9841, CVE-2021-3129 y CVE-2022-22947. Ese enfoque confirma una estrategia típica: aprovechar rápidamente las descripciones publicadas y ejemplos de explotación disponibles mientras los propietarios de los sistemas no aplican las actualizaciones.
El nombre Zerobot apareció por primera vez en documentos de Fortinet en 2022; sin embargo, la relación con operadores anteriores sigue siendo incierta. La novena versión difiere notablemente de los ejemplares anteriores en tamaño y lenguaje de implementación, pero conserva elementos de Mirai, incluida la clave XOR 0xDEADBEEF.
Akamai publicó indicadores de compromiso, reglas para Snort y YARA y una lista de las direcciones IP y hashes involucrados. La compañía recomienda que las organizaciones revisen los routers Tenda y las instalaciones de n8n, apliquen las actualizaciones y limiten el acceso a los servicios desde la red externa.