Les routeurs ASUS sont devenus la cible d'un réseau de zombies naissant appelé Cyclops Blink, près d'un mois après qu'il ait été révélé que le logiciel malveillant utilisait les pare-feu WatchGuard comme tremplin pour accéder à distance aux réseaux violés.

Selon un rapport publié par Trend Micro, le botnet "a pour principal objectif de construire une infrastructure pour de nouvelles attaques sur des cibles de grande valeur".

Les agences de renseignement du Royaume-Uni et des États-Unis ont caractérisé Cyclops Blink comme un cadre de remplacement pour VPNFilter, un autre logiciel malveillant qui a exploité des périphériques réseau, principalement des routeurs pour petits bureaux et bureaux à domicile (SOHO) et des périphériques de stockage en réseau (NAS).

Écrit en langage C, le botnet modulaire avancé affecte un certain nombre de modèles de routeurs ASUS, l'entreprise reconnait qu'elle travaille sur une mise à jour pour répondre à toute exploitation potentielle -.

Outre l'utilisation d'OpenSSL pour crypter les communications avec ses serveurs de commande et de contrôle (C2), Cyclops Blink intègre également des modules spécialisés capables de lire et d'écrire dans la mémoire flash des dispositifs, ce qui lui confère la capacité de persister et de survivre aux réinitialisations d'usine.

Un deuxième module de reconnaissance sert de canal pour exfiltrer des informations du dispositif piraté vers le serveur C2, tandis qu'un composant de téléchargement de fichiers se charge de récupérer des charges utiles arbitraires, éventuellement via HTTPS.

Le mode exact d'accès initial n'est actuellement pas connu, mais Cyclops Blink aurait impacté des appareils WatchGuard et des routeurs Asus.

Les appareils et routeurs IoT devenant une surface d'attaque lucrative en raison de la rareté des correctifs et de l'absence de logiciels de sécurité, Trend Micro a averti que cela pourrait conduire à la formation de "botnets éternels".