Два активних ботнети, Ficora та Capsaicin, активізували атаки на застарілі маршрутизатори D-Link, які більше не отримують оновлення програмного забезпечення. Серед вразливих моделей опинилися популярні пристрої, такі як DIR-645, DIR-806, GO-RT-AC750 та DIR-845L.
Обидва шкідливих ПЗ використовують вразливості CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 та CVE-2024-33112 для початкового доступу. Після зламу хакери експлуатують інтерфейс управління D-Link, виконуючи шкідливі команди для викрадення даних та запуску скриптів оболонки. Основною метою цих атак є проведення DDoS-атак.
Ботнет Ficora, який є новим варіантом Mirai, має широку географічну активність, зокрема в Японії та США. Capsaicin, модифікація ботнету Kaiten, зосереджується переважно на країнах Східної Азії. Ficora використовує скрипт multi для завантаження шкідливого коду різними методами, такими як wget, curl, ftpget і tftp, а також має компонент для підбору паролів, що дозволяє заражати додаткові пристрої на Linux.
Capsaicin інфікує через скрипт bins.sh, який завантажує файли з префіксом yakuza для різних архітектур. Він блокує процеси інших шкідливих програм, забезпечуючи власну унікальну активність, і передає дані про заражені пристрої на сервер управління.
Експерти радять встановлювати актуальні версії прошивок, а за відсутності підтримки безпеки замінювати старі маршрутизатори на сучасні моделі для уникнення атак.