La botnet sfrutta una specifica vulnerabilità presente nei router. Anche se le modalità dell’attacco non siano ancora del tutto chiare, Microsoft ha potuto verificare che gli hacker sono riusciti a eseguire codice non autorizzato sui dispositivi colpiti. Grazie a tale accesso, i malintenzionati sono stati in grado di scaricare e installare tool e backdoor sui router compromessi. Ciò utilizzando il protocollo FTP. Successivamente, hanno attivato una shell di comando attraverso la porta TCP 7777
e un server SOCKS5 sulla porta 11288. Tale setup permette alla botnet di mantenere il controllo remoto dei dispositivi infetti e di sfruttarli come base per attività malevole senza destare sospetti.Uno dei principali utilizzi di questa rete di dispositivi compromessi è l’esecuzione di attacchi “password spraying”. Tale tipo di attacco consiste nel tentare di accedere ad account di utenti non compromessi usando combinazioni comuni di nome utente e password rubate. Sfruttando il fatto che molte persone utilizzano la stessa password su più piattaforme, gli hacker possono provare un’enorme quantità di credenziali mantenendo un profilo basso nell’attacco. La presenza di oltre 16.000 dispositivi nella botnet consente loro di evitare le misure di sicurezza più diffuse contro il brute force.
Microsoft attribuisce questa botnet a un gruppo cinese identificato come Xlogin o Quad7. La società di Redmond ha già avvisato i clienti Azure coinvolti riguardo alla violazione. Al momento però non ha ancora fornito istruzioni dettagliate su come mettere in sicurezza i dispositivi colpiti.