Uma rede global composta por cerca de 13.000 roteadores MikroTik sequestrados está sendo utilizada como botnet para disseminar malware por meio de campanhas de spam. Esse caso representa mais um exemplo de botnets explorando dispositivos MikroTik. De acordo com o pesquisador de segurança David Brunsdon, a atividade tira proveito de registros DNS mal configurados para contornar técnicas de proteção de e-mails. “Essa botnet usa uma rede global de roteadores MikroTik para enviar e-mails maliciosos que aparentam ser originados de domínios legítimos”, explicou em um relatório técnico publicado recentemente.

A campanha, apelidada de Mikro Typo pela Infoblox, foi identificada inicialmente em novembro de 2024, quando uma campanha de malspam foi detectada. Ela utilizava iscas relacionadas a faturas de frete para convencer as vítimas a abrir um arquivo ZIP contendo um payload malicioso. Embora o vetor de acesso inicial aos roteadores ainda não tenha sido identificado, várias versões de firmware vulneráveis foram comprometidas, incluindo aquelas afetadas pela falha CVE-2023-30799, um problema crítico de escalonamento de privilégios que pode ser explorado para executar código arbitrário.

Independentemente do método de comprometimento, os atacantes têm inserido scripts nos dispositivos MikroTik para habilitar o protocolo SOCKS (Secure Sockets). Isso transforma os roteadores em proxies capazes de redirecionar tráfego TCP, mascarando a origem real do tráfego malicioso e dificultando o rastreamento até sua fonte. A situação é agravada pelo fato de que esses proxies não exigem autenticação, permitindo que outros atores maliciosos utilizem dispositivos individuais ou a botnet inteira para diversas finalidades, como ataques DDoS, campanhas de phishing e roubo de dados.