Nach Angaben von Palo Alto Networks Unit 42 ist TuxBot v3 Evolution ein modulares IoT-Botnet-Framework, dessen Bot-Agent in C geschrieben wurde und für mehrere Architekturen querkompiliert werden kann, darunter ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC und RISC-V. Hinzu kommen ein in Go geschriebener C2-Server mit einem DDoS-for-hire-Panel, eine angepasste virtuelle Maschine für Exploit-Code, eine Docker-basierte Testinfrastruktur und ein automatisiertes Build-System.
Der Bot-Agent ist darauf ausgelegt, den Telnet-Zugang zu Zielsystemen per Brute Force mit 1.496 Zugangsdatenpaaren anzugreifen. Außerdem enthält er Exploit-Code für mehr als 30 IoT-Gerätefamilien auf Basis bekannter Schwachstellen. Die Kommunikation mit dem C2-Server erfolgt über einen verschlüsselten TCP-Kanal. Als weitere Mechanismen nutzt TuxBot laut Unit 42 einen Domain-Generation-Algorithmus auf Basis von SHA512, ein Peer-to-Peer-Gossip-Protokoll mit per Ed25519 signierten Befehlen, Internet Relay Chat, DNS-TXT-Abfragen und HTTP-Polling als Fallback.
Besonders auffällig sind für die Forscher die Spuren eines großen Sprachmodells im Code. Unit 42 erklärt, die KI habe den angeforderten Botnet-Code zwar erzeugt, zugleich aber einen Sicherheitshinweis hinterlassen, den der Entwickler nicht entfernt habe. In mehreren Dateien fanden die Analysten außerdem unverändert eingefügte Kommentarpassagen mit der vollständigen internen Argumentationskette des Sprachmodells. Diese Kommentare enthielten laut Unit 42 Selbstunterbrechungen, Entscheidungen und Verweise auf „den Nutzer“, also den Entwickler, der das Modell angesteuert habe.
Die Codequalität blieb dabei hinter dem Anspruch zurück. Mehrere Funktionen in den analysierten Proben arbeiteten nicht korrekt. Nach Einschätzung des Unternehmens hätte eine manuelle Codeprüfung diese Fehler beseitigen können. Unit 42 hält es deshalb für möglich, dass bereits ausgereiftere Varianten der Schadsoftware im Umlauf sind.
Die Abstammung des Frameworks lässt sich laut den Forschern auf drei unterschiedliche Botnets zurückführen: Mirai, AISURU und Wuhan. Darüber hinaus wurden einzelne Funktionen teilweise aus dem quelloffenen Python-DDoS-Toolkit MHDDoS portiert. Mindestens eine Probe wurde am 20. Januar 2026 bei VirusTotal hochgeladen, was darauf hindeutet, dass TuxBot seit mehr als sechs Monaten existiert. Hinweise legen laut Unit 42 nahe, dass die Arbeit daran bereits ein Jahr zuvor begann, als der Autor das MHDDoS-Repository von GitHub klonte.
Forscher Chris Navarrete, Asher Davila und Doel Santos verweisen auf die Selbstbeschreibung des Projekts: Der Entwickler habe nach eigener Darstellung eine „professionelle C2-Framework-Plattform“ mit Mehrbenutzer-Admin-Panel, automatisierter Bereitstellung und modularen Angriffsfunktionen gebaut. Ein dedizierter HTTP-Scanner kann dabei bis zu 128 gleichzeitige Verbindungen verwalten, um verwundbare Web-Oberflächen aufzuspüren. Für Persistenz nutzt TuxBot systemd-Dienste, Cron-Einträge und einen Watchdog-Keepalive-Prozess.
Unit 42 ordnet den Betreiber anhand gemeinsam genutzter Infrastruktur mit Kaitori v3.9 und AISURU-Werkzeugen dem Keksec-Ökosystem zu. Diese Gruppe sei dafür bekannt, mehrere IoT-Botnet-Varianten parallel zu betreiben. TuxBot erscheine als weiterer Ableger in diesem Portfolio und solle mit verschlüsseltem C2, DGA und einem modularen Exploit-System über typische Mirai-Abspaltungen hinausgehen — auch wenn dieses System in der geborgenen Version noch nicht funktioniere.
Die Veröffentlichung folgt auf das Auftauchen der Botnets RustDuck und AryStinger, die Router, IP-Kameras, Android-Boxen und schlecht abgesicherte Server ins Visier genommen haben, um sie in ein Netzwerk für das Lahmlegen von Onlinediensten und für Aufklärungszwecke einzubinden.
