Gayfemboy botnet
A Qianxin XLab jelentése szerint a Gayfemboy botnet egy zero-day sebezhetőséget kihasználva terjedt a Four-Faith ipari switcheken. A Gayfemboy botnetet először 2024 februárjában észlelték, és azóta folyamatosan fejlődött. Kezdetben a Mirai botnet egyszerű változata volt, de idővel a fejlesztők új funkciókkal és sebezhetőségek kihasználásával bővítették. A botnet több mint 20 különböző sebezhetőséget és gyenge Telnet hitelesítési adatokat használ a terjedéshez. Különösen figyelemre méltó a Four-Faith ipari útválasztókban található 0-day sebezhetőség kihasználása, amelyet később CVE-2024-12856 azonosítóval láttak el.
A becslések szerint a Gayfemboy botnet naponta körülbelül 15 000 aktív IP-címmel rendelkezik, főként Kínában, az Egyesült Államokban, Iránban, Oroszországban és Törökországban.
Amikor a kutatók regisztrálták a botnet által használt C2 (Command and Control) domaineket a fertőzött eszközök megfigyelése céljából, a botnet üzemeltetői DDoS támadásokkal válaszoltak, jelezve a fenyegetés mögött álló csoport agresszív hozzáállását.