Una rassegna settimanale sulla sicurezza evidenzia un schema familiare: endpoint datati, payload oscurati e dispositivi consumer che si comportano più come computer non gestiti che come elettrodomestici.
Una presunta interruzione che coinvolge NetNut punta a un problema più ampio nel cybercrime: l'infrastruttura di proxy residenziali trasforma dispositivi ordinari in copertura usa e getta per gli abusi.
Google ha dichiarato di aver interrotto una botnet di proxy residenziali usata per il traffico di comando e controllo del malware e per attacchi di password spray, con il coinvolgimento di FBI, Lumen e altri partner.
Google, con l'FBI, Lumen e altri partner, avrebbe agito contro NetNut, tracciata anche come Popa, in un caso che evidenzia come l'infrastruttura proxy residenziale possa supportare il comando e controllo del malware.
RustDuck illustra uno schema familiare ma pericoloso: un botnet modulare può crescere collegando accessi remoti deboli, interfacce di dispositivo esposte e sistemi di automazione vulnerabili.
Una famiglia di botnet di recente denominazione ricorda che Telnet esposto, SSH basato solo su password e servizi pubblici non patchati restano una via affidabile verso dispositivi IoT e server.
SystemBC, tracciato anche come Coroxy, mostra come un impianto Windows possa contare meno per la crittografia che per il livello proxy nascosto che aiuta i gruppi ransomware a muoversi inosservati.
Un'interruzione coordinata contro l'infrastruttura criminale mostra come botnet e infostealer dipendano da fragili sistemi di comando, non solo dal codice malware.
Un ampio riepilogo di bug dei browser, killer EDR, una botnet per TV, una falla in OpenBSD e trojan Android indica un modello duraturo: gli aggressori continuano a scegliere il percorso più breve verso il controllo, non il più appariscente.
Una famiglia di malware progettata per scansione, tunneling e persistenza mostra come bug dei router dimenticati da tempo possano ancora alimentare una moderna rete di accesso.
Una botnet appena analizzata trasforma router datati e appliance NAS in nodi di scansione e tunneling, mostrando come piccoli dispositivi edge possano diventare infrastrutture utili per nascondere l'origine dell'attaccante e ampliare il raggio d'azione.
Il servizio di intelligence canadese ha utilizzato un potere di riduzione della minaccia approvato dal tribunale per intervenire su hardware infettato da botnet, un segnale che la bonifica può ormai essere al centro della difesa informatica.
Si segnala che almeno 4.300 router legacy sono rimasti coinvolti in una rete guidata da malware costruita per la ricognizione e il relay del traffico, mostrando come hardware trascurato possa diventare un'infrastruttura silenziosa per operazioni pre-intrusione.
Una botnet finora non documentata è stata collegata a migliaia di router obsoleti, mostrando come i dispositivi di bordo possano essere riutilizzati come infrastruttura silenziosa per traffico malevolo.
Un'operazione internazionale ha preso di mira l'infrastruttura di SocGholish, un promemoria che interrompere un loader può contare quanto bloccare il payload finale.
Un presunto spostamento verso router dirottati e infrastrutture botnet criminali mostra come gli operatori clandestini si stiano allontanando da hosting facilmente tracciabili.
La crescita dell'IoT può gonfiare il catalogo delle vulnerabilità e, allo stesso tempo, alimentare botnet che trasformano piccoli dispositivi in munizioni per DDoS.
La telemetria DNS collegata ad attività correlate a Kimwolf mostra come livelli proxy dall'aspetto consumer possano confondere il confine tra traffico ordinario e infrastruttura ostile.
JDY è riapparso come scanner controllato centralmente su oltre 1.500 dispositivi SOHO e IoT, mostrando come l'hardware edge compromesso possa essere riutilizzato per una ricognizione rapida.
Un botnet collegato a circa 1.500 dispositivi compromessi mostra come l'infrastruttura esposta possa sopravvivere a una disruption e continuare a servire come livello di relay nascosto.