Роутер тормозит? Возможно, он майнит криптовалюту для злоумышленников

Исследователи CloudSEK выявили кампанию, в которой используется ботнет формата Loader-as-a-Service. За последние месяцы он превратил миллионы роутеров и IoT-устройств в фермы для майнинга и базы для Mirai-подобных атак.

Хакеры используют перебор стандартных паролей, подмену POST-параметров (ntp, syslog, hostname), а также уязвимости в Oracle WebLogic, WordPress и vBulletin (CVE-2019-17574, CVE-2019-16759, CVE-2012-1823). В корпоративном сегменте применяются десериализация WebLogic, OGNL-инъекции Struts2 и JNDI-эксплойты.

В июле–августе 2025 года активность выросла на 230%. На устройства загружались мультиархитектурные модули Morte, майнеры JSON-RPC и боты с функционалом Mirai. Они используются для скрытого майнинга, DDoS-кампаний и продажи доступа.

Основная цель — SOHO-роутеры и встроенные Linux-системы. Передача вредоносных файлов ведётся через HTTP, FTP и TFTP, что делает ботнет устойчивым.

Последствия включают утечку данных, перегрузку сетей, подмену DNS/NTP и распространение вторичных угроз.

CloudSEK рекомендует обновлять прошивки и пароли, отключать удалённое администрирование, блокировать подозрительный трафик и настраивать SOC/SIEM для обнаружения вызовов wget/curl, «|sh» и аномальных JSON-RPC-запросов. При заражении — изоляция устройства и при необходимости его перепрошивка или замена.