The Hacker Newsは6月28日(米国時間)、「ZuoRAT Malware Hijacking Home-Office Routers to Spy on Targeted Networks」において、小規模オフィスやホームオフィス(SOHO: Small Office/Home Office)ルータを標的としたリモートアクセス型トロイの木馬が発見されたと伝えた。Lumen Black Lotus Labsが発見した「ZuoRAT」と呼ばれるそのマルウェアは、北米およびヨーロッパのネットワークを標的としたキャンペーンの一環とされている。
ZuoRATはルータを乗っ取り、検出されずにサイバー犯罪者にLAN上のシステムにアクセスできるようにするトロイの木馬型マルウェア。SOHOルータ向けにMIPSにコンパイルされており、ASUS、シスコシステムズ、DrayTek、NETGEARなどのルータがターゲットにされている。2016年10月に流出したMiraiボットネットのコードを大幅に修正したものだということも判明している。
サイバー犯罪者のZuoRATによるSOHOルータへの初期攻撃は、まずパッチが適用されていない既知の欠陥をスキャンするところから始まる。次に、ZuoRATをロードしてネットワークにアクセスし、Cobalt Strikeや任意のコマンドを実行できるCBeaconやGoBeaconなどのカスタムバックドアを配信するために使われる。さらに、サイバー犯罪者は侵入の痕跡を隠すためにZuoRATを削除し、侵入したルータをプロキシC2サーバとして利用するという。
ZuoRATキャンペーンの背後は不明だが、分析から中国の陝西省に関連性があること、C2サーバにAlibabaのYuqueとTencentが使われていることがわかっている。Lumen Black Lotus Labsはキャンペーンで使われている方法や活動を隠すための回避的な性質から、中国政府の活動である可能性があると示唆している。