Il botnet Quad7 sta evolvendo rapidamente, prendendo di mira router SOHO e appliance VPN di vari marchi, tra cui TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR. Secondo un rapporto della società francese di cybersecurity Sekoia, gli operatori del botnet stanno sfruttando combinazioni di vulnerabilità note e sconosciute per compromettere questi dispositivi. Il botnet, noto anche come 7777, è stato documentato per la prima volta nel 2023 dall'indipendente Gi7w0rm, che ha evidenziato come TP-Link router e registratori digitali video Dahua siano stati coinvolti.

Il nome Quad7

Il nome Quad7 deriva dal fatto che apre la porta TCP 7777 sui dispositivi compromessi. È stato osservato che il botnet attacca anche istanze Microsoft 365 e Azure tramite brute-forcing. Inoltre, può infettare altri sistemi come MVPower, Zyxel NAS e GitLab, anche se con un volume molto basso. Secondo Jacob Baines di VulnCheck, il botnet non si limita ad aprire un servizio sulla porta 7777, ma crea anche un server SOCKS5 sulla porta 11228.

Analisi successive

Le analisi successive condotte da Sekoia e Team Cymru hanno rivelato che il botnet ha compromesso router TP-Link in paesi come Bulgaria, Russia, Stati Uniti e Ucraina, e ha esteso il suo raggio d'azione per includere router ASUS con porte TCP 63256 e 63260 aperte. I cluster aggiuntivi identificati includono:

• xlogin (aka 7777 botnet): un botnet di router TP-Link compromessi con porte TCP 7777 e 11288 aperte.
• alogin (aka 63256 botnet): un botnet di router ASUS compromessi con porte TCP 63256 e 63260 aperte.
• rlogin: un botnet di dispositivi Ruckus Wireless compromessi con porta TCP 63210 aperta.
• axlogin: un botnet in grado di prendere di mira dispositivi NAS Axentra (non ancora rilevati in natura).
• zylogin: un botnet di appliance VPN Zyxel compromessi con porta TCP 3256 aperta.

Sekoia ha dichiarato che i paesi con il maggior numero di infezioni sono Bulgaria (1.093), Stati Uniti (733) e Ucraina (697). Gli attori della minaccia stanno ora utilizzando una nuova backdoor chiamata UPDTAE, che stabilisce una shell inversa basata su HTTP per consentire il controllo remoto dei dispositivi infetti e l'esecuzione di comandi da un server di comando e controllo (C2).

Non è ancora chiaro quale sia lo scopo esatto del botnet o chi ne sia responsabile, ma si ritiene che l'attività sia opera di un attore sponsorizzato dallo stato cinese. Secondo i ricercatori, gli operatori stanno cercando di rendere il botnet più furtivo utilizzando nuovi malware per evitare il tracciamento. Sebbene l'attività del botnet 7777 sia stata osservata principalmente in tentativi di brute-forcing contro account Microsoft 365, l'utilizzo degli altri botnet rimane ancora incerto.