Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l'inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l'estate e l'autunno 2016, quando riuscì a diffondersi a migliaia di router e videoregistratori (distribuito tramite smart camera e sistemi di telecamere a circuito chiuso). La botnet Mirai è stata usata per lanciare una lunga serie di attacchi, uno dei quali contro il blog KrebsONSecurity, cosa che ha comunque attirato le attenzioni delle forze di Polizia, obbligando l'autore del malware e pubblicare in rete il codice sorgente del malware. Questa mossa ha fatto sì che spuntassero decine di varianti di Mirai e che le tracce dello sviluppatore originale si confondessero ancora di più.
Mirai per Windows...
Nel Febbraio del 2017 i ricercatori si sono imbattuti in un trojan per Windows ideato con il solo scopo di aiutare Mirai a diffondersi su un numero maggiore di dispositivi. Le versioni standard di Mirai lavorano infettando un dispositivo, selezionano un indirizzo IP a caso e tentano il login tramite la porta Telnet, utilizzando un elenco di credenziali di default di amministrazione. Le versioni successive hanno poi aggiunto la possibilità di lanciare questi attacchi "indovinando" le password tramite le porte SSH.
Mirai per i server Linux
L'ultima evoluzione di Mirai è di pochissimi giorni fa: è stata individuata una nuova versione, già usata in attacchi reali, pensata solo ed esclusivamente per i server che eseguono Linux. In questo caso i cyber criminali hanno preso il codice di un worm specializzato nell'attacco a dispositivi IoT (Internet of Things) e lo hanno modificato in un malware per server linux: nel dettaglio cioè hanno preso del codice malware già rodato, efficace e funzionante e lo hanno modificato per sfruttare una vulnerabilità (comunque già conosciuta) di Apache Hadopp YARN. La vulnerabilità di Hadoop YARN è un bug di "command injection" che consente ad un attaccante di eseguire comandi arbitrari da remoto. Una strada che forse è più semplice, per i cyber criminali, di infettare i dispositivi IoT, che eseguono non piattaforme standard e comuni come la x86, ma sistemi operativi modificati per funzionare sui dispositivi IoT stessi.
Ad oggi il numero delle infezioni è assai ridotto, parliamo infatti di attacchi (non sempre riusciti) contro una decina di migliaia di macchine al giorno: il problema però è che questo malware ha un comportamento simile a quello dei worm. Ogni server infetto, infatti, diventa ulteriore veicolo di infezione verso altri server.