По данным исследователей Akamai, атаки фиксируются с начала апреля 2025 года и используют две критические уязвимости с оценкой 9.8 по CVSS — CVE-2024-6047 и CVE-2024-11120. Обе бреши позволяют удалённо выполнять произвольные команды в системе, пишет Securitylab.Целью атак стал устаревший CGI-эндпоинт «/DateSetting.cgi», куда через параметр «szSrvIpAddr» внедряются команды для загрузки и запуска версии вредоносного ПО Mirai под архитектуру ARM. Используемый вариант получил имя LZRD.
Кроме GeoVision, ботнет также эксплуатирует другие известные уязвимости — например, в Hadoop YARN ( CVE-2018-10561 ) и уязвимость в оборудовании DigiEver (без CVE), впервые описанную в декабре 2024 года. Исследователи полагают, что кампания может быть связана с активностью, ранее отслеживаемой под именем InfectedSlurs.
Как подчёркивают специалисты, атаки на устройства с устаревшей прошивкой остаются одним из самых простых и эффективных способов расширения ботнета. Многие производители больше не поддерживают такие устройства, а некоторые вовсе прекратили своё существование, оставив уязвимые системы без обновлений.
Поскольку устройства GeoVision, попавшие под удар, уже сняты с поддержки, пользователям рекомендовано заменить их на более современные аналоги.