Mozi un botnet peer-to-peer (P2P), qui cible habituellement les appareils IoT, a apparemment évolué devenant encore plus menaçant grâce à de nouvelles fonctions qui lui permettent de persister sur les passerelles réseau. De nouvelles découvertes montrent que les cibles pourraient être des passerelles réseau fabriquées par les sociétés Netgear, Huawei et ZTE, qui sont très connues dans le secteur.

Dans de nombreux cas, le botnet Mozi se propage facilement en raison de l'utilisation de mots de passe faibles et/ou par défaut. Dans certains scénarios, les vulnérabilités IoT non corrigées peuvent représenter un danger potentiel car les logiciels malveillants IoT communiquent à l'aide d'une table de hachage distribuée de type BitTorrent et enregistrent les coordonnées des autres nœuds du botnet.

L'équipe d'experts en sécurité IoT de Microsoft a découvert que le logiciel malveillant du botnet Mozi pouvait être mis à niveau afin d'augmenter ses chances de survie lors d'un redémarrage ou de toute autre tentative par d'autres logiciels malveillants ou intervenants d'interférer avec son fonctionnement, notamment en obtenant la persistance sur les appareils ciblés et en bloquant les ports TCP (23, 2323, 7547, 35000, 50023 et 58000).

Mozi a été mis à jour pour prendre en charge de nouvelles commandes qui lui permettent de détourner des sessions HTTP et d'effectuer également des usurpations de DNS. Il est recommandé aux utilisateurs de routeurs Netgear, Huawei et ZTE de sécuriser leurs appareils à l'aide de mots de passe forts et de les mettre à jour avec le dernier firmware. Cela réduira les surfaces d'attaque exploitées par le botnet et empêchera les attaquants de se mettre en position d'utiliser la persistance récemment découverte et d'autres techniques d'exploitation.