In der Welt der Cybersecurity zeichnet sich immer wieder ein Wettlauf zwischen Angreifern und Verteidigern ab. Im Juni 2025 wurde eine alarmierende neue Entwicklung publik: Eine Variante des Flodrix-Botnets nutzt eine kritische Sicherheitslücke in Langflow, einem auf Python basierenden visuellen Framework für KI-Anwendungen. Diese Schwachstelle, bekannt als CVE-2025-3248, ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Servern auszuführen. Die Angreifer bedienen sich dieser Möglichkeit, um gezielt Schadsoftware zu installieren und so ein mächtiges Netzwerk für Distributed Denial of Service (DDoS)-Angriffe aufzubauen. Die Tragweite dieser Bedrohung ist beträchtlich, da es vor allem um internetexponierte und ungeschützte Langflow-Installationen geht, die in zahlreichen Unternehmen und Institutionen weltweit im Einsatz sind.
Langflow hat sich als ein beliebtes Framework in der Entwicklung von KI-Anwendungen etabliert, da es durch eine visuelle Benutzeroberfläche den Programmieraufwand reduziert und somit auch Nicht-Programmierern den Zugang erleichtert. Doch gerade diese Offenheit wird nun zur Achillesferse. Die Schwachstelle, die mit hohem Schweregrad bewertet ist, erlaubt das Einschleusen und Ausführen von sogenannten Downloader-Skripten. Diese Skripte holen sich den Flodrix-Schädling von einem entfernten Server, der unter der IP-Adresse 80.66.
75.121 am Port 25565 erreichbar ist, und installieren ihn auf dem Opfergerät. Das Botnet kommuniziert anschließend über das TCP-Protokoll mit einem Command-and-Control-Server (C2), um Befehle für koordinierte DDoS-Angriffe zu erhalten. Besonders auffällig ist, dass die Botnet-Kommunikation auch über das anonymisierende TOR-Netzwerk abgewickelt werden kann, was Ermittlungen erschwert. Die Sicherheitsforscher von Trend Micro haben die Aktivitäten intensiv untersucht und im Rahmen ihrer Analyse das vollständige Schadverhalten offengelegt.
Der Flodrix-Botnet-Client bemüht sich, möglichst unauffällig zu agieren. So wurde er gezielt mit Funktionen ausgestattet, die es ihm erlauben, Spuren zu verwischen, etwa durch selbständige Entfernung und Verschlüsselung der DDoS-Attacks. Zudem wurde die Auswertung von Systemprozessen durch das Öffnen des /proc-Verzeichnisses implementiert, um die Umgebung besser zu analysieren und potenziell interessante Ziele zu identifizieren. Die Herkunft des Flodrix-Botnets ist mit der älteren LeetHozer-Botnet-Familie verknüpft, die der berüchtigten Moobot-Gruppe zugeschrieben wird. In der aktuellen Variante ist eine deutliche Weiterentwicklung zu beobachten, was sich in erweitertem Angriffsspektrum und verbesserter Tarnung zeigt.
Die DDoS-Attacken sind nun nicht nur vielseitiger, sondern auch verschlüsselt, was die Erkennung und Abwehr erschwert. Die Entwicklung scheint zudem noch aktiv zu sein, da auf den kompromittierten Servern verschiedene Downloader-Skripte liegen, die auf unterschiedliche Schadkomponenten hinweisen. Ein weiterer entscheidender Befund stammt von der Plattform Censys, die bei der Analyse des C2-Servers eine Fehlkonfiguration entdeckte. Auf dem Server war unter anderem ein Portmapper sowie ein frei zugänglicher Network File System (NFS)-Share offen, der es ermöglichte, auf über 745 kompromittierte Geräte zurückzuschließen. Besonders betroffen sind Internet-fähige Kameras, die fast die Hälfte der infizierten Systeme ausmachen, sowie Geräte in Taiwan und den USA.
Die Verbreitung auf solche IoT-Geräte unterstreicht die Gefahr durch mangelhaft gesicherte Netzwerkinfrastrukturen in Privat- und Unternehmensumgebungen. Diese Erkenntnisse ergänzen die bisherigen Warnungen von Behörden wie der US-Cybersecurity and Infrastructure Security Agency (CISA), die bereits im Mai 2025 vor aktiven Angriffen auf Langflow-Installationen warnten. Insbesondere die Verfügbarkeit eines öffentlichen Proof-of-Concept-Codes macht es Angreifern einfach, automatisierte Exploits zu entwickeln und großflächige Kompromittierungen durchzuführen. Die Kombination von fehlender Eingabevalidierung und ungeschützten API-Endpunkten bildet einen zentralen Schwachpunkt, der von den Angreifern gnadenlos ausgenutzt wird. Angesichts der potenziellen Schäden, die durch koordinierte DDoS-Attacken entstehen können, ist es essenziell, die Sicherheit von Langflow-Instanzen umgehend zu prüfen und geeignete Maßnahmen zu ergreifen.
Die Entwickler von Langflow haben bereits im März 2025 mit Version 1.3.0 ein Update veröffentlicht, das die kritische Authentifizierungsproblematik behebt. Dennoch ist die Verteilung der Updates offenbar nicht flächendeckend erfolgt, was Angreifer für ihre Zwecke ausnutzen. Unternehmen und Administratoren sollten daher unverzüglich prüfen, ob ihre Systeme auf dem neuesten Sicherheitsstand sind, und ungepatchte Server vom öffentlichen Internet abschotten.
Neben der Aktualisierung der Software ist auch eine konsequente Netzwerksegmentierung und Überwachung der Serveraktivitäten ratsam. Das Identifizieren ungewöhnlicher Netzwerktraffic-Muster, insbesondere im Kontext von DDoS-Vorbereitungen und Command-and-Control-Kommunikation, kann helfen, eine Infektion frühzeitig zu bemerken und einzudämmen. Ergänzend dazu können Firewalls und Intrusion Detection Systeme (IDS) mit spezifischen Signaturen gegen bekannte Flodrix-Komponenten und Exploits genutzt werden. Für Organisationen, die IoT-Geräte wie IP-Kameras einsetzen, ist es besonders wichtig, die Sicherheitskonfiguration dieser Systeme zu überprüfen und potenzielle Zugriffe zu beschränken. Viele dieser Geräte verfügen über standardisierte Zugangsdaten oder unzureichende Sicherheitsvorkehrungen, was sie zu attraktiven Zielen für Botnet-Ausbreitungen macht.
Die Kombination aus IoT-Schwachstellen und Angriffen auf Serverkomponenten wie Langflow potenziert die Gefahr maßgeblich. Die Analyse zeigt exemplarisch, wie fortschrittlich und zielgerichtet moderne Botnets agieren. Sie bedienen sich von mehreren Technologien und Strategien, um möglichst viele Geräte zu infizieren und so ausreichend Rechenleistung für großangelegte Angriffe bereitzustellen. Die Nutzung von verschlüsselten DDoS-Methoden, Kombination mehrerer Netzwerkprotokolle und Tarntechniken erschwert die Detektion durch klassische Sicherheitslösungen erheblich. Daraus ergibt sich ein wachsender Bedarf an adaptiven und ganzheitlichen Verteidigungsansätzen, die auf Anomalie-Erkennung, maschinelles Lernen und Automatisierung beruhen.
Die öffentlich bekannt gewordenen Details bieten zugleich Chancen für die Sicherheitsgemeinschaft. Die Analyse der Flodrix-Malware, der genutzten Infrastruktur und Angriffsmethoden ermöglicht es Sicherheitsunternehmen, gezielte Schutzmaßnahmen zu entwickeln und Betroffene zu informieren. Kooperationen zwischen Forschungseinrichtungen, Behörden und der IT-Branche sind in diesem Zusammenhang essenziell, um ein schnelles und effektives Reagieren auf derartige Bedrohungen sicherzustellen. Im Fazit stellt die neue Flodrix-Botnet-Variante einen signifikanten Risikofaktor für Betreiber von Langflow-Servern und vernetzten Geräten dar. Die Kombination aus einer kritischen RCE-Sicherheitslücke und ausgeklügelter Malware macht diese Bedrohung zu einer der aktuell größten Herausforderungen im Bereich der IT-Sicherheit.
Demgegenüber stehen bereits verfügbare Updates und bewährte Sicherheitspraktiken, die es zu implementieren gilt, um den Schaden zu minimieren und die Verfügbarkeit kritischer IT-Systeme zu gewährleisten. Ein proaktiver Umgang und eine gründliche Überprüfung der Infrastruktur sind daher entscheidend, um die eigene Umgebung vor dieser und ähnlichen Bedrohungen zu schützen.
