Theo Independent, khoảng 14.000 thiết bị, chủ yếu là router Asus, bị phát hiện nhiễm mã độc mới có tên gọi KadNap.
Công ty an ninh mạng Lumen cho biết, phần mềm độc hại này lần đầu được phát hiện vào tháng 8/2025, và nhanh chóng lây lan trên quy mô lớn, trong đó hơn 60% nạn nhân ở Mỹ.
Ngoài ra, nhiều trường hợp tương tự cũng được ghi nhận tại các khu vực Đài Loan và Hong Kong (Trung Quốc), Nga cùng một số quốc gia khác như Anh, Australia, Brazil, Pháp, Italia và Tây Ban Nha.
Mã độc KadNap tấn công khoảng 14.000 thiết bị, chủ yếu là router của Asus. (Ảnh: Cyber Securite)
Theo Lumen, KadNap hoạt động như một botnet - mạng lưới các thiết bị kết nối Internet bị xâm nhập và điều khiển từ xa. Những thiết bị này có thể là router gia đình, thiết bị Internet vạn vật (IoT) như camera, hoặc thậm chí các thiết bị gia dụng thông minh.
Sau khi bị chiếm quyền kiểm soát, các thiết bị sẽ được liên kết lại để thực hiện các cuộc tấn công Distributed Denial-of-Service (DDoS) attack. Hình thức tấn công này tạo ra lượng truy cập khổng lồ nhằm làm quá tải máy chủ, khiến website hoặc dịch vụ trực tuyến bị gián đoạn.
Botnet KadNap sử dụng hệ thống mạng ngang hàng phi tập trung (peer-to-peer), giúp nó tránh bị phát hiện và khó bị triệt phá. Do không phụ thuộc vào máy chủ điều khiển trung tâm, mạng lưới này vẫn có thể hoạt động ngay cả khi một phần hệ thống bị vô hiệu hóa.
“Trong bối cảnh xã hội ngày càng phụ thuộc vào các thiết bị Internet vạn vật (IoT) kết nối Internet, cơ hội để các tác nhân độc hại khai thác lỗ hổng bảo mật tiếp tục gia tăng”, Lumen cho biết trong một báo cáo.
Các chuyên gia của Lumen nhận định những nhóm tấn công đang xây dựng các botnet quy mô lớn nhằm chiếm quyền điều khiển các thiết bị trong hệ sinh thái IoT, sử dụng chúng để chuyển hướng lưu lượng và né tránh các hệ thống bảo mật mạng.
Đối với người dùng router Asus bị nhiễm KadNap, dấu hiệu nhận biết gần như không rõ ràng, chỉ thấy tốc độ Internet chậm hơn chút.
Các chuyên gia cho rằng việc sử dụng lưu lượng từ router gia đình giúp tin tặc dễ dàng vượt qua các bộ lọc bảo mật, bởi lưu lượng này trông giống như đến từ người dùng Internet thông thường.
Báo cáo cũng cho biết các botnet KadNap được rao bán thông qua dịch vụ Doppelganger, cho phép người dùng khai thác các thiết bị bị chiếm quyền điều khiển để thực hiện nhiều hoạt động độc hại, từ tấn công dò mật khẩu đến các chiến dịch khai thác lỗ hổng có mục tiêu.
“Do đó, mọi địa chỉ IP liên kết với mạng botnet này đều tiềm ẩn rủi ro đáng kể và lâu dài đối với cả tổ chức lẫn cá nhân”, Lumen kết luận.
Bình luận