As invasões, que visaram cerca de 22 organizações de energia dinamarquesas em maio de 2023, ocorreram em duas ondas distintas. A primeira explorou uma falha de segurança em um firewall Zyxel (CVE-2023-28771) e a segunda viu os atacantes implantarem variantes do botnet Mirai em hosts infectados por meio de um vetor de acesso inicial ainda desconhecido.
A primeira onda ocorreu em 11 de maio, enquanto a segunda durou de 22 a 31 de maio de 2023. Em um dos ataques detectados em 24 de maio, observou-se que o sistema comprometido estava se comunicando com endereços IP (217.57.80[.]18 e 70.62.153[.]174) anteriormente usados como comando e controle (C2) para o botnet Cyclops Blink, agora desmantelado.
No entanto, uma análise mais detalhada do ataque, revelou que não apenas as duas ondas eram não relacionadas, mas também é improvável que sejam obra do grupo patrocinado pelo estado, já que a segunda onda fazia parte de uma campanha de exploração em massa mais ampla contra firewalls Zyxel não corrigidos.
Atualmente, não se sabe quem está por trás dos dois conjuntos de ataques. A campanha descrita como a “segunda onda” de ataques na Dinamarca começou antes e continuou depois do período de 10 dias, visando firewalls indiscriminadamente de maneira muito semelhante, apenas mudando os servidores de estágio periodicamente.
Isso é mais uma evidência de que a exploração do CVE-2023-27881, em vez de ser limitada à infraestrutura crítica dinamarquesa, está em andamento e visando dispositivos expostos, alguns dos quais são firewalls Zyxel protegendo organizações de infraestrutura crítica.