Peneliti cybersecurity telah mengungkapkan bahwa aktor ancaman bernama ViciousTrap telah membahayakan hampir 5.300 perangkat tepi jaringan unik di 84 negara dan mengubahnya menjadi jaringan seperti honeypot.
Aktor ancaman telah diamati mengeksploitasi cacat keamanan kritis yang berdampak pada Cisco Small Business RV016, RV042, RV042G, RV082, RV320, dan router RV325 (CVE-2023-20118) untuk mengikat mereka menjadi satu set honeypots ense. Mayoritas infeksi terletak di Makau, dengan 850 perangkat yang dikompromikan.
“Rantai infeksi melibatkan pelaksanaan skrip shell, dijuluki Netghost, yang mengarahkan kembali lalu lintas yang masuk dari pelabuhan spesifik router yang dikompromikan ke infrastruktur seperti honeypot di bawah kendali penyerang yang memungkinkan mereka untuk mencegat aliran jaringan,” kata Sekoia dalam analisis yang diterbitkan Kamis.
Perlu dicatat bahwa eksploitasi CVE-2023-20118 sebelumnya disebabkan oleh perusahaan cybersecurity Prancis dengan botnet lain yang dijuluki Polaredge.
Meskipun tidak ada bukti bahwa kedua set kegiatan ini terhubung, diyakini bahwa aktor ancaman di balik ViciousTrap kemungkinan akan menyiapkan infrastruktur honeypot dengan melanggar berbagai peralatan yang menghadap ke internet, termasuk router SOHO, SSL VPN, DVR, dan pengontrol BMC dari lebih dari 50 merek Araknis.
“Pengaturan ini akan memungkinkan aktor untuk mengamati upaya eksploitasi di berbagai lingkungan dan berpotensi mengumpulkan eksploitasi non-publik atau nol, dan menggunakan kembali akses yang diperoleh oleh aktor ancaman lainnya,” tambahnya.
Rantai serangan memerlukan persenjataan CVE-2023-20118 untuk mengunduh dan menjalankan skrip bash melalui FTPGet, yang kemudian menghubungi server eksternal untuk mengambil biner wget. Pada langkah berikutnya, cacat Cisco dieksploitasi untuk kedua kalinya, menggunakannya untuk mengeksekusi skrip kedua yang diambil menggunakan wget yang sebelumnya dijatuhkan.
Skrip shell tahap kedua, yang dirujuk secara internal sebagai NetGhost, dikonfigurasi untuk mengarahkan kembali lalu lintas jaringan dari sistem yang dikompromikan ke infrastruktur pihak ketiga yang dikendalikan oleh penyerang, sehingga memfasilitasi serangan musuh di tengah-tengah (AITM). Ini juga dilengkapi dengan kemampuan untuk menghilangkan dirinya dari host yang dikompromikan untuk meminimalkan jejak forensik.
Sekoia mengatakan semua upaya eksploitasi berasal dari satu alamat IP (“101.99.91[.]151 “), dengan kegiatan paling awal sejak Maret 2025. Dalam peristiwa penting yang diamati sebulan kemudian, para aktor vicioustrap dikatakan telah menggunakan kembali cangkang web tidak berdokumen yang sebelumnya digunakan dalam serangan botnet Polaredge untuk operasi mereka sendiri.
“Asumsi ini selaras dengan penggunaan Netghost penyerang,” kata peneliti keamanan Felix Aimé dan Jeremy Scion. “Mekanisme pengalihan secara efektif memposisikan penyerang sebagai pengamat diam, yang mampu mengumpulkan upaya eksploitasi dan, berpotensi, akses shell web dalam perjalanan.”
Baru -baru ini bulan ini, upaya eksploitasi juga menargetkan router ASUS tetapi dari alamat IP yang berbeda (“101.99.91[.]239 “), meskipun para aktor ancaman belum ditemukan untuk membuat honeypot pada perangkat yang terinfeksi. Semua alamat IP yang digunakan secara aktif dalam kampanye terletak di Malaysia dan merupakan bagian dari sistem otonom (AS45839) yang dioperasikan oleh penyedia hosting Shinjiru.
Aktor ini diyakini berasal dari bahasa Cina berdasarkan tumpang tindih yang lemah dengan infrastruktur Gobrat dan fakta bahwa lalu lintas diarahkan ke banyak aset di Taiwan dan Amerika Serikat.
“Tujuan akhir dari vicioustrap tetap tidak jelas bahkan [though] Kami menilai dengan keyakinan tinggi bahwa ini adalah jaringan gaya honeypot, “Sekoia menyimpulkan.
