Um novo malware chamado Condi foi observado explorando uma vulnerabilidade de segurança em roteadores Wi-Fi TP-Link Archer AX21, integrando esses dispositivos a uma rede botnet para ataques de negação de serviço distribuído (DDoS).

A análise do malware revela que ele é capaz de encerrar outras botnets competidoras no mesmo host.

No entanto, ele não possui um mecanismo de persistência, o que significa que o programa não pode sobreviver a uma reinicialização do sistema.

Para contornar essa limitação, o malware deleta vários binários usados para desligar ou reiniciar o sistema.

Diferente de algumas botnets que se propagam por meio de ataques de força bruta, Condi utiliza um módulo de scanner que verifica se os dispositivos TP-Link Archer AX21 são vulneráveis e, em caso afirmativo, executa um script shell recuperado de um servidor remoto para depositar o malware.

Além disso, Condi visa capturar dispositivos para criar um poderoso botnet DDoS que pode ser alugado por outros atores para orquestrar ataques de inundação TCP e UDP em sites e serviços.