O botnet Quad7, também conhecido como 7777, está evoluindo rapidamente e agora compromete roteadores SOHO e dispositivos VPN de várias marcas, incluindo TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR. De acordo com um relatório recente, os operadores do botnet estão explorando tanto vulnerabilidades conhecidas quanto falhas ainda não documentadas para expandir suas operações. Originalmente, o Quad7 ganhou destaque em outubro de 2023, quando o pesquisador Gi7w0rm documentou sua capacidade de sequestrar roteadores TP-Link e gravadores de vídeo digital (DVRs) da Dahua, formando uma rede de dispositivos comprometidos.
Desde então, o botnet se mostrou altamente adaptável, abrindo a porta TCP 7777 nos dispositivos infectados para realizar ataques de força bruta em instâncias do Microsoft 365 e Azure. Os operadores do Quad7 parecem estar refinando suas ferramentas de ataque. Os pesquisadores destacaram que o grupo introduziu um novo backdoor, apelidado de UPDTAE, que utiliza um shell reverso baseado em HTTP para garantir o controle remoto dos dispositivos infectados. Isso permite que os invasores enviem comandos de um servidor de comando e controle (C2) para executar tarefas maliciosas de forma furtiva.
Além dos roteadores TP-Link, o Quad7 já comprometeu dispositivos ASUS, que têm as portas TCP 63256 e 63260 abertas, mostrando a rápida expansão das táticas do botnet. Além disso, outros dispositivos como NAS da Zyxel e sistemas GitLab também foram infectados, embora em menor escala. Essa adaptação rápida e a diversificação de alvos mostram a crescente sofisticação dos operadores do botnet.