🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

Исследователи кибербезопасности обнаружили новую вредоносную программу, которая тайно захватывает контроль над сетевыми роутерами и другими устройствами. Целями атаки становятся популярные модели производителей DrayTek, TP-Link, Raisecom и Cisco.

Кампания, проявляющая активность в течение июля 2025 года, использует старый, но эффективный метод: эксплуатацию уязвимостей в веб-интерфейсах устройств. Злоумышленники отправляют специально сформированные HTTP-запросы на незащищенные роутеры, что позволяет им выполнять произвольные команды без необходимости ввода логина или пароля.

➡️Как работает атака?
Атака начинается с простого HTTP-запроса на уязвимый endpoint (точку входа) веб-интерфейса роутера. Например, на роутерах TP-Link Archer AX21 эксплуатируется параметр country, в который подставляется вредоносная команда.

Эти команды заставляют устройство загрузить и запустить специальный скрипт-загрузчик, уникальный для каждой модели роутера. Этот скрипт, в свою очередь, скачивает из интернета основной вредоносный модуль, который предоставляет злоумышленникам полный удаленный контроль над устройством с правами root.

💫«Gayfemboy»: наследник Mirai, но опаснее

Новый malware, получивший от исследователей название «Gayfemboy», является эволюционным продолжением печально известного ботнета Mirai. Однако, он обладает ключевыми улучшениями в области скрытности и модульности.

Для избежания обнаружения вредоносные файлы маскируются под безобидные и названы в соответствии с архитектурами процессоров: aalel для ARM (AArch) и xale для x86-64. Кроме того, код упакован с помощью модифицированной версии утилиты UPX, что затрудняет его автоматический анализ антивирусными системами.

⤵️Глобальный масштаб
Жертвы зафиксированы в Бразилии, Мексике, США, Германии, Франции, Швейцарии, Израиле и Вьетнаме, а среди пострадавших секторов — производство и медиаиндустрия.

Для доставки payload (полезной нагрузки) злоумышленники используют два протокола: HTTP и более простой TFTP, что гарантирует успех даже в сетях с ограниченным исходящим трафиком. Весь вредоносный трафик исходит из двух ключевых узлов: хост для загрузки (220.158.234.135) и источник атакующих запросов (87.121.84.34).