Une nouvelle vague d’attaques a été révélée par des chercheurs en cybersécurité exploitant plusieurs failles dans le but de déployer des variantes de Mirai sur des systèmes compromis. L’équipe de renseignement sur les menaces de l’unité 42 de Palo Alto Networks a déclaré dans un article : « Une fois l'exploitation réussie, les attaquants tentent de télécharger un script shell malveillant, qui contient d'autres comportements d'infection tels que le téléchargement et l'exécution de variantes de Mirai et de force brute »

Les failles exploitées incluent :

• VisualDoor - une vulnérabilité d'injection de commande à distance SonicWall SSL-VPN qui a été découverte plus tôt en janvier
• CVE-2020-25506 - Une vulnérabilité d'exécution de code à distance (RCE) du pare-feu DNS-320 D-Link
• CVE-2021-27561 et CVE-2021-27562 - Deux vulnérabilités dans Yealink Device Management qui permettent à un attaquant non authentifié d'exécuter des commandes arbitraires sur le serveur avec les privilèges root
• CVE-2021-22502 - une faille RCE dans Micro Focus Operation Bridge Reporter (OBR), affectant la version 10.40
• CVE-2019-19356 - un exploit RCE du routeur sans fil Netis WF2419, et
• CVE-2020-26919 - une vulnérabilité Netgear ProSAFE Plus RC

Les chercheurs de la société de sécurité chinoise Netlab 360 ont découvert un nouveau botnet basé sur Mirai nommé ZHtrap qui emploie un pot de miel afin de récolter des victimes supplémentaires, tout en empruntant quelques fonctions à un botnet DDoS appelé Matryosh.

En général, les pots de miel imitent une cible pour les pirates informatiques dans le but de profiter de leurs tentatives d’intrusion pour récolter davantage d’informations, mais le botnet ZHtrap emploi une technique semblable en intégrant un module d’analyse de collecte d’IP pour collecter les adresses IP qui sont utilisées comme cibles pour une propagation semblable à un ver.