Negli ultimi tempi, la sicurezza informatica si trova ad affrontare una nuova minaccia: una variante del malware Flodrix sta sfruttando una vulnerabilità critica nei server Langflow per diffondere la propria botnet e lanciare attacchi DDoS. Langflow è una piattaforma open source, scritta in Python, utilizzata per la creazione visuale di applicazioni di intelligenza artificiale. La vulnerabilità, nota come CVE-2025-3248 con un punteggio CVSS di 9.8, è dovuta alla mancanza di autenticazione e consente l’esecuzione di codice arbitrario tramite richieste HTTP appositamente create.

Gli attaccanti utilizzano questa falla di sicurezza per eseguire script downloader sui server compromessi. Questi script scaricano e installano Flodrix, che stabilisce una comunicazione con un server remoto per ricevere comandi. Tra le azioni principali della botnet c’è il lancio di attacchi Distributed Denial-of-Service (DDoS) contro indirizzi IP scelti dagli attaccanti. La botnet è anche in grado di comunicare attraverso la rete TOR, aumentando l’anonimato e la difficoltà nel tracciare le attività malevole.

L’attività malevola è stata segnalata da ricercatori di sicurezza che hanno rilevato l’uso di un codice proof-of-concept pubblico, facilmente reperibile, per sfruttare la vulnerabilità. Gli aggressori puntano soprattutto su server Langflow esposti su Internet che non sono stati aggiornati alla versione 1.3.0, rilasciata a marzo 2025 proprio per correggere la vulnerabilità. Le autorità statunitensi hanno già inserito la CVE-2025-3248 tra le vulnerabilità sfruttate attivamente e hanno invitato le organizzazioni a intervenire immediatamente.

Flodrix: evoluzione e nuove capacità della botnet

Flodrix rappresenta un’evoluzione del precedente botnet LeetHozer, associato al gruppo Moobot. Questa nuova variante ha migliorato le proprie capacità di evasione: può eliminarsi in modo discreto, minimizzare le tracce forensi e rende più difficile l’analisi offuscando gli indirizzi dei server di comando e controllo. Inoltre, sono stati introdotti nuovi tipi di attacchi DDoS, ora anche criptati, e funzioni che permettono di elencare tutti i processi in esecuzione sul server compromesso.

Raccomandazioni degli esperti

Il consiglio degli esperti è di aggiornare immediatamente Langflow alle ultime versioni, proteggere le istanze esposte e monitorare eventuali comportamenti anomali sui server. La rapida evoluzione di questa campagna dimostra quanto sia fondamentale intervenire tempestivamente sulle vulnerabilità per evitare infezioni da botnet e il rischio di attacchi DDoS su larga scala.