Linux/Remaiten combina le funzionalità delle due precedenti versioni di questa bot, a cui ha aggiunto un meccanismo di diffusione unico nel suo genere
I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione Europea, hanno identificato una nuova e più potente versione di Kaiten, un malware controllato tramite Internet Relay Chat (IRC) usato di solito per effettuare attacchi DDoS(Distributed Denial of Services). Il malware rimasterizzato è stato soprannominato Linux/Remaiten e prende di mira apparati di rete come router, gateway e access point wireless e potenzialmente anche dispositivi IoT equipaggiati con sistemi operativi Linux.
I ricercatori di ESET hanno finora individuato tre varianti di Linux/Remaiten, identificate come versioni 2.0, 2.1 e 2.2. In base all’analisi del codice, la principale novità di questa versione è il suo sofisticato meccanismo di diffusione: utilizzando di base il sistema di scansione telnet di Linux/Gafgyt, Linux/Remaiten ne migliora il meccanismo di diffusione riuscendo a inviare il proprio codice binario eseguibile su apparati di rete come router e altri dispositivi collegati, cercando di colpire soprattutto quelli protetti da credenziali deboli. Il lavoro del componente Downloader, incorporato nel binario del bot stesso, è di richiedere il codice binario del bot Linux/Remaiten al suo server di comando e controllo. Quando questo viene eseguito crea un altro bot che potrà poi essere usato dai criminali. I ricercatori di ESET hanno notato che questa tecnica era già stata usata dal Linux/Moose per diffondere infezioni.
È curioso che questa variante del malware includa un messaggio destinato a chiunque tenti di neutralizzare questa minaccia: all’interno del messaggio di benvenuto, la versione 2.0 cita direttamente malwaremustdie.org che ha pubblicato informazioni dettagliate su Gafgyt, Tsunami e altri membri di questa famiglia di malware.