Pesquisadores identificaram um aumento significativo na atividade de dois botnets que exploram vulnerabilidades conhecidas em roteadores D-Link. As ameaças, chamadas FICORA e CAPSAICIN, são variantes de botnets já amplamente conhecidos, Mirai e Kaiten (Tsunami), respectivamente, e têm como alvo dispositivos desatualizados, aproveitando falhas exploradas há anos.

Os botnets exploram uma vulnerabilidade no protocolo HNAP (Home Network Administration Protocol), especificamente na ação GetDeviceSettings, para executar comandos maliciosos remotamente. Dispositivos comprometidos podem ser controlados à distância, permitindo a realização de ataques mais complexos.

Segundo análises, o FICORA tem um alcance global, enquanto o CAPSAICIN foca em países do Leste Asiático, como Japão e Taiwan. A atividade do CAPSAICIN foi particularmente intensa nos dias 21 e 22 de outubro de 2024, indicando uma campanha direcionada. Ambos os botnets utilizam scripts de download para infectar os dispositivos e, após a instalação, o malware realiza ataques de força bruta para comprometer outros dispositivos e ataques de negação de serviço distribuído (DDoS) utilizando UDP, TCP e DNS.

Para administradores de TI e profissionais de segurança, é essencial garantir que dispositivos D-Link e similares estejam atualizados com as versões mais recentes de firmware. Além disso, substituir credenciais padrão por senhas fortes é uma medida crítica para reduzir a exposição a essas ameaças.