Sebelumnya, Microsoft memperingatkan bahwa hacker China menggunakan botnet Quad7, yang disusupi dari router small office/home office (SOHO) yang diretas, untuk mencuri kredensial dalam serangan password-spray.
Router SOHO biasanya menjadi pilihan utama bagi usaha kecil menengah (UKM) yang membutuhkan koneksi internet stabil.
Quad7, juga dikenal sebagai CovertNetwork-1658 atau xlogin, adalah botnet yang pertama kali ditemukan oleh peneliti keamanan Gi7w0rm (terdiri dari router SOHO yang disusupi).
Laporan selanjutnya oleh Sekoia dan Team Cymru melaporkan bahwa hacker China menargetkan router dan perangkat jaringan dari TP-Link, ASUS, perangkat nirkabel Ruckus, perangkat NAS Axentra, dan peralatan VPN Zyxel.
Ketika perangkat disusupi, hacker menyebarkan malware khusus yang memungkinkan akses jarak jauh ke perangkat melalui Telnet, yang menampilkan ‘banner selamat datang unik’ berdasarkan perangkat yang disusupi.
Selain router yang terinstal, pelaku ancaman juga memasang server proxy SOCKS5 untuk melakukan serangan berbahaya sambil berbaur dengan tfaffic yang sah untuk menghindari deteksi keamanan.
Meskipun botnet tersebut belum dikaitkan dengan aktor ancaman tertentu, Team Cymru melacak perangkat lunak proksi yang digunakan pada router tersebut ke pengguna yang tinggal di Hangzhou, China.