华硕路由器已成为一个名为Cyclops Blink的新兴僵尸网络的目标，近一个月后，该恶意软件被发现滥用 WatchGuard 防火墙设备作为获得对被破坏网络的远程访问权限的垫脚石。

根据趋势科技发布的一份新报告，僵尸网络的“主要目的是为进一步攻击高价值目标构建基础设施”，因为受感染的主机都不属于“关键组织或具有明显价值的组织”关于经济、政治或军事间谍活动。”

来自英国和美国的情报机构将Cyclops Blink 描述为 VPNFilter 的替代框架，VPNFilter是另一种利用网络设备的恶意软件，主要是小型办公室/家庭办公室 (SOHO) 路由器和网络附加存储 (NAS) 设备。

VPNFilter 和 Cyclops Blink 都被归咎于被追踪为 Sandworm（又名 Voodoo Bear）的俄罗斯国家支持的演员，该演员也与一些备受瞩目的入侵有关，包括 2015 年和 2016 年对乌克兰电力公司的攻击格、2017 年 NotPetya 攻击和 2018 年冬奥会奥运会毁灭者攻击。

用 C 语言编写的高级模块化僵尸网络影响了许多华硕路由器型号，该公司承认它正在努力进行更新以解决任何潜在的利用 –

• GT-AC5300固件3.0.0.4.386.xxxx下
• GT-AC2900固件3.0.0.4.386.xxxx下
• RT-AC5300固件3.0.0.4.386.xxxx下
• 3.0.0.4.386.xxxx下的RT-AC88U固件
• RT-AC3100固件3.0.0.4.386.xxxx下
• 3.0.0.4.386.xxxx下的RT-AC86U固件
• RT-AC68U、AC68R、AC68W、AC68P固件3.0.0.4.386.xxxx下
• 3.0.0.4.386.xxxx下的RT-AC66U_B1固件
• 3.0.0.4.386.xxxx下的RT-AC3200固件
• RT-AC2900 固件在 3.0.0.4.386.xxxx 下
• RT-AC1900P、RT-AC1900P固件在3.0.0.4.386.xxxx下
• RT-AC87U（报废）
• RT-AC66U（报废），以及
• RT-AC56U（报废）

Cyclops Blink 除了使用 OpenSSL 加密与其命令和控制 (C2) 服务器的通信外，还集成了可以从设备的闪存读取和写入的专用模块，使其能够实现持久性和恢复出厂设置。

第二个侦察模块用作将信息从被黑客入侵的设备泄露回 C2 服务器的通道，而文件下载组件负责选择性地通过 HTTPS 检索任意有效负载。

目前尚不清楚初始访问的确切模式，但据说 Cyclops Blink 自 2019 年 6 月以来影响了位于美国、印度、意大利、加拿大和俄罗斯的 WatchGuard 设备和华硕路由器。一些受影响的主机属于法律欧洲的公司，为南欧的牙医生产医疗设备的中型实体，以及美国的管道公司

由于修补频率低且缺乏安全软件，物联网设备和路由器成为利润丰厚的攻击面，趋势科技警告说，这可能导致“永恒的僵尸网络”的形成。

研究人员说：“一旦物联网设备感染了恶意软件，攻击者就可以不受限制地访问互联网，下载和部署更多阶段的恶意软件，以进行侦察、间谍活动、代理或其他攻击者想做的事情。”

“在 Cyclops Blink 的案例中，我们已经看到设备连续被入侵超过 30 个月（大约两年半），并被设置为其他机器人的稳定命令和控制服务器。”