A Microsoft alertou que grupos de ameaça chineses estão usando a botnet Quad7 para realizar ataques de “password-spray” e roubar credenciais. A botnet, também conhecida como CovertNetwork-1658 ou xlogin, foi descoberta inicialmente pelo pesquisador Gi7w0rm e é composta por roteadores SOHO comprometidos. Pesquisas subsequentes revelaram que os atacantes estão mirando dispositivos de rede de marcas como TP-Link, ASUS, Ruckus, Axentra e Zyxel. Após comprometerem esses dispositivos, os invasores instalam malwares que permitem o acesso remoto via Telnet, além de instalar um servidor proxy SOCKS5 para redirecionar os ataques e se disfarçar entre o tráfego legítimo, dificultando a detecção.
Embora a botnet não tenha sido atribuída diretamente a um grupo específico, a Team Cymru rastreou o software proxy utilizado nesses roteadores até um usuário localizado em Hangzhou, China. A Microsoft revelou que a Quad7 é operada por múltiplos atores chineses, incluindo o grupo Storm-0940, que utiliza as credenciais roubadas para penetrar em redes-alvo. Durante os ataques, a botnet realiza tentativas de login discretas, com um número limitado de tentativas por conta para evitar alertas de segurança. Isso torna as operações mais furtivas e difíceis de identificar.
Em cerca de 80% dos casos, a botnet faz apenas uma tentativa de login por conta por dia, minimizando a probabilidade de ser detectada pelos mecanismos de defesa. Esse comportamento sofisticado e a infraestrutura de redirecionamento de tráfego tornaram a Quad7 uma ameaça persistente e difícil de mitigar, sendo um exemplo de como ataques de password-spray podem ser realizados de maneira eficaz e discreta por grupos de cibercriminosos.