Китайские хакеры Mustang Panda создали свою поддельную прошивку, разработанную специально для маршрутизаторов TP-link.
Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор, который позволяет хакерам поддерживать постоянный доступ и создавать анонимную инфраструктуру в скомпрометированных сетях.
Благодаря тому, что компоненты имплантата не зависят от прошивки, они могут быть интегрированы в различные прошивки от разных поставщиков.
Точный способ развертывания поддельных образов прошивки на данный момент неизвестен.
Но известно то, что имплант предоставляет злоумышленникам возможность выполнять произвольные команды оболочки, загружать и скачивать файлы на маршрутизатор и с него, а также ретранслировать связь между двумя разными клиентами.
Во время ретрансляции хакерами вводится дополнительный уровень анонимности, что помогает скрывать конечный сервер, на который идет вся информация.