Pumpkin Eclipse
A Lumen Technologies Black Lotus Labs egy pusztító eseményt azonosított, aminek hatására több mint 600 000 kis irodai/otthoni irodai (SOHO) router került offline állapotba, amelyek egyetlen internetszolgáltatóhoz (ISP) tartoztak. Az incidens október 25-27. között 72 órán keresztül zajlott, a fertőzött eszközöket véglegesen működésképtelenné tette, és hardveres cserét tett szükségessé. A nyilvános vizsgálati adatok megerősítették, hogy ebben az időszakban az érintett internetszolgáltató autonóm rendszerszáma (ASN) összes modemjének 49%-a hirtelen és hirtelen eltávolításra került.
A Lumen elemzése a Chalubo-t, egy commodity remote access trojan (RAT) nevű trójai vírust azonosította, mint az eseményért felelős elsődleges kártékony kódot. Ez a trójai, amelyet először 2018-ban azonosítottak, ügyes trükköket alkalmazott a tevékenysége obfuszkálására; eltávolított minden fájlt a lemezről, hogy memóriában fusson, véletlenszerű folyamatnevet vett fel, amely már jelen volt az eszközön, és titkosított minden kommunikációt a parancs- és vezérlő (C2) szerverrel. A kutatók szerint ezek a tényezők hozzájárultak ahhoz, hogy a Chalubo kártevőcsaládról eddig csak egy jelentés született. A Chalubo az összes főbb SOHO/IoT kernelhez tervezett hasznos teherrel rendelkezik, előre beépített funkciókkal DDoS-támadások végrehajtására, és képes végrehajtani bármilyen, a botnak küldött Lua szkriptet. Gyanítjuk, hogy a Lua-funkciót valószínűleg a rosszindulatú szereplő használta a pusztító hasznos teher lekérdezésére.