Mirai-Based xlabs_v1 Botnet Exploits ADB to Hijack IoT Devices for DDoS Attacks

Stačí jeden zapomenutý port a vaše solární panely patří botnetu xlabs_v1. Takhle dnes vypadá kybernetická válka.

Máte doma chytrou televizi, domovní bránu nebo snad solární střídač? Gratuluji. Právě jste se možná stali majiteli zbraně hromadného ničení. Ne té atomové, ale digitální. Zatímco vy v klidu spíte, váš router v předsíni může zrovna pálit pakety na servery americké banky nebo české státní správy. Vítejte v roce 2026, kde je největším nepřítelem bezpečnosti zapomenutý port 5555 a vaše vlastní pohodlnost.

Bezpečnostní experti ze Zscaler ThreatLabz ve své nejnovější zprávě VPN Risk Report 2026 potvrzují to, co jsme dlouho tušili. Klasické VPN jsou v troskách a hackeři si z IoT zařízení dělají své osobní armády zombie. Nejnovějším přírůstkem do této digitální nekropole je botnet s kódovým označením xlabs_v1. Je to vylepšená, agresivnější verze starého známého Mirai, která se nespoléhá na hrubou sílu hesel, ale na lenost vývojářů a administrátorů.

Port 5555: Otevřené dveře do vaší sítě

Většina lidí zná port 80 pro web nebo 443 pro šifrovanou komunikaci. Ale slyšeli jste někdy o portu 5555? To je domov protokolu ADB – Android Debug Bridge. Původně vznikl pro vývojáře, aby mohli ladit aplikace v telefonech. Jenže v roce 2026 běží na ořezaném Androidu skoro všechno: od infopanelů v metru až po řídicí jednotky tepelných čerpadel a fotovoltaických elektráren.

Problém je prostý. Výrobce v továrně zapne ADB pro testování, zapomene ho vypnout a zařízení pošle k zákazníkovi. Ten ho připojí k internetu bez firewallu. Botnet xlabs_v1 pak prostě projíždí celý internet a klepe na port 5555. Pokud je otevřený, neptá se na heslo. Nepotřebuje ho. Prostě vstoupí, nahraje svůj kód a zařízení se stává součástí útočné sítě. Žádné varování, žádné logy, které by běžný uživatel viděl. Vaše FVE prostě dál vyrábí elektřinu, jen u toho mimochodem pomáhá odstavit energetickou síť v sousedním státě.

VPN jako největší slabina

Zpráva Zscaleru jasně ukazuje na paradox. Technologie, které nás měly chránit, nás dnes nejvíce ohrožují. Staré VPN koncentrátory jsou pro útočníky lákavějším cílem než hlavní servery. Pokud se hacker dostane do vaší VPN, je "uvnitř". A vnitřní síť bývá často děravá jako ementál. Report uvádí, že přes 70 % úspěšných průniků do kritické infrastruktury v posledním roce začalo právě zneužitím zranitelnosti v zastaralém VPN softwaru.

Doby, kdy stačilo mít antivir a silné heslo k Wi-Fi, jsou pryč. Dnes útočníci míří přímo na dodavatelský řetězec. Možná si říkáte, že na své servery neinstalujete nic podezřelého. Ale co vaše knihovny v Node.js nebo Pythonu?

ZiChatBot: Když se malware schovává za API

Nedávno se na PyPI (oficiální repozitář balíčků pro Python) objevily škodlivé balíčky, které doručovaly ZiChatBot malware. Tenhle kousek kódu je mimořádně drzý. Místo aby komunikoval se svým řídicím serverem (C2) přes nápadné IP adresy, využívá k tomu Zulip API. Zulip je legitimní komunikační nástroj, něco jako Slack. Administrátor sítě vidí v logu jen běžnou komunikaci se známou službou. Mezitím ZiChatBot vesele krade přihlašovací údaje na Windowsu i Linuxu.

A aby toho nebylo málo, máme tu nekonečný příběh knihovny vm2 v Node.js. Ta měla sloužit k bezpečnému spouštění cizího kódu v izolovaném prostředí (sandboxu). Jenže se ukázalo, že sandbox je děravý. Stačí správně zformátovaný příkaz a útočník uteče z "vězení" přímo do vašeho operačního systému. Tohle je noční můra pro každého, kdo provozuje automatizační platformy v energetice.

Proč je to v energetice takový průšvih?

V energetice nejde o ukradená čísla kreditek. Jde o stabilitu sítě. Představte si tisíce malých střídačů v českých domácnostech, které ovládl botnet xlabs_v1. Útočník je může v jeden moment všechny vypnout nebo začít cyklicky měnit frekvenci. To je recept na masivní blackout, na který vás neupozorní ani NÚKIB, dokud nebude pozdě.

Český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dlouhodobě varuje před používáním nedůvěryhodných komponent v kritické infrastruktuře. Jenže kritická infrastruktura už nejsou jen elektrárny. Jste to i vy, kdo máte na střeše panely. Pokud vaše zařízení pochází od výrobce, který kašle na aktualizace a nechává otevřené ladicí porty, jste bezpečnostní riziko.

Pokud vás zajímá, jak spravovat energii chytře a přitom se nenechat hacknout, podívejte se na SmartEnergyShare.com. Sdílení energie a dat je skvělá věc, ale musí stát na pevných základech. Bezpečnost v roce 2026 není produkt, který si koupíte v krabici. Je to proces.

Jak se nenechat "sežrat" botnetem?

Zapomeňte na pocit bezpečí. Tady je pár konkrétních kroků, které byste měli udělat ještě dnes:

1. Segmentujte: Vaše chytrá lednice a střídač nesmí být ve stejné síti jako váš pracovní notebook s přístupem do banky. Udělejte si pro IoT samostatnou VLAN.
2. Firewall není přežitek: Zakažte veškerou příchozí komunikaci z internetu, kterou explicitně nepotřebujete. Port 5555 by měl být pro vnější svět neviditelný.
3. Aktualizujte nebo vyhoďte: Pokud výrobce vašeho střídače nevydal aktualizaci firmware za poslední rok, zvažte jeho výměnu. Je to jen otázka času, kdy ho někdo zneužije.
4. Zero Trust místo VPN: Přestaňte věřit všemu, co je "ve vnitřní síti". Každý požadavek, i ten zevnitř, musí být ověřen.
5. Sledujte zdroje: Čtěte zprávy od NÚKIB a americké CISA. Útoky se sice mění, ale vzorce zůstávají podobné.

Budoucnost patří připraveným (nebo těm s manuálním odpojovačem)

Botnet xlabs_v1 je jen špička ledovce. S nástupem AI se budou útoky automatizovat ještě rychleji. Hacker už nebude sedět v mikině u terminálu a zkoušet vaše heslo. Bude to dělat algoritmus, který prohledá miliony zařízení za sekundu a najde tu jednu jedinou chybu v knihovně vm2, o které jste neměli ani tušení.

Kybernetická válka neprobíhá jen na monitoru generálů. Probíhá v každém chytrém zařízení u vás doma. Buď budete mít svá data a svou energii pod kontrolou, nebo se stanete jen dalším uzlem v síti někoho, kdo vám zrovna nefandí. Výběr je na vás. Ale pamatujte – v digitálním světě se za neznalost neplatí pokutou, ale ztrátou kontroly nad vlastním domovem.

Až se příště budete radovat, jak vám aplikace v mobilu ukazuje výrobu ze sluníčka, zkuste se zamyslet: vidím ta data jen já, nebo se někdo jiný právě teď kouká se mnou a plánuje, jak mi tu hračku vypnout?