Из обычных роутеров сделали разведсеть. Всё из-за одной дыры в Cisco

ИБ-специалисты из компании Sekoia выявили масштабную операцию, в ходе которой неизвестная группа под кодовым названием ViciousTrap взломала почти 5300 сетевых устройств на границе корпоративных и домашних сетей в 84 странах, превратив их в единую наблюдательную инфраструктуру.

Для атаки использовалась критическая уязвимость CVE-2023-20118 , затрагивающая маршрутизаторы Cisco Small Business серий RV016, RV042, RV042G, RV082, RV320 и RV325. Основной удар пришёлся по Макао, где было захвачено 850 устройств.

Вектор заражения включал запуск специального shell-скрипта, получившего название NetGhost. Этот скрипт настраивал переадресацию трафика с определённых портов взломанного маршрутизатора на инфраструктуру злоумышленников. Такой подход позволял злоумышленникам перехватывать сетевые соединения и анализировать трафик в реальном времени, фактически превращая тысячи устройств в приманку для других хакеров и сбора попыток эксплуатации.

По мнению аналитиков Sekoia, обнаруженные действия ViciousTrap не связаны напрямую с ботнетом PolarEdge, который ранее тоже эксплуатировал CVE-2023-20118 . Однако есть основания полагать, что авторы ViciousTrap выстраивают уникальную сеть из устройств самых разных производителей, включая не только SOHO-маршрутизаторы, но и SSL VPN, цифровые видеорегистраторы и BMC-контроллеры. Таким образом, атакующие расширяют охват инфраструктуры, получая инструменты для наблюдения за новыми методами атак и неафишируемыми эксплойтами, а также повторно используют доступы, открытые другими группами.

Технически атака строилась по следующей схеме: уязвимость в Cisco эксплуатировалась для загрузки и исполнения bash-скрипта через ftpget, который в свою очередь скачивал бинарник wget с внешнего сервера. Далее злоумышленники повторно использовали ту же уязвимость, чтобы загрузить и выполнить второй скрипт, как раз тот самый NetGhost. Его задача — перенаправление сетевого трафика с устройства на инфраструктуру злоумышленника для организации атак типа «злоумышленник посередине» (AitM). Помимо этого, скрипт мог удалять себя после выполнения, чтобы затруднить расследование.

Анализ всех попыток эксплуатации показал, что атаки шли с одного IP-адреса (101.99.91[.]151), а первые инциденты были зафиксированы в марте 2025 года. Уже в апреле злоумышленники начали использовать ранее неизвестный веб-оболочку, которая встречалась в атаках PolarEdge, однако теперь её применяли в новой кампании. Исследователи отмечают, что механизм перенаправления в NetGhost позволяет злоумышленникам незаметно собирать не только попытки эксплуатации, но и возможные обращения к веб-оболочкам, внедрённым другими хакерами.

В мае атаки затронули и роутеры ASUS, причём эксплойты исходили с другого IP-адреса (101.99.91[.]239), но в этих случаях создание «приманок» не проводилось. Все задействованные адреса принадлежат малайзийскому хостинг-провайдеру Shinjiru (AS45839). В пользу китаеязычного происхождения группы говорят косвенные совпадения инфраструктуры с GobRAT, а также перенаправление трафика на активы в Тайване и США.

Сложившаяся ситуация наглядно демонстрирует, что даже массово используемые сетевые устройства могут быть быстро превращены в инструмент разведки, если игнорировать своевременное устранение уязвимостей. Безопасность инфраструктуры сегодня всё чаще зависит от реакции на инциденты и готовности оперативно устранять слабые места, а не только от выбора производителя оборудования.