殭屍網路C0XMO利用老舊DD-WRT漏洞，擴散並感染DVR與Android等裝置

DD-WRT為一開源Linux路由器韌體，可取代原廠韌體，提供VPN、流量控管、無線橋接、進階防火牆等功能。它支援多家品牌的路由器，常見於技術玩家與中小型網路環境，目前版本是2026年5月發布的r64764。而CVE-2021-27137影響的是DD-WRT 45723版以前韌體，可讓駭客透過UPnP服務漏洞，自遠端控制未修補的DD-WRT路由器。

研究人員指出，C0XMO保留Gafgyt變種常見特徵，包括針對Telnet與SSH服務進行弱密碼暴力破解、內建命令注入漏洞攻擊模組，以及支援多種分散式阻斷服務（DDoS）攻擊。不過，與傳統殭屍網路不同的是，C0XMO將掃描與擴散功能拆成獨立Python腳本，使駭客更容易針對不同系統架構與裝置類型調整攻擊手法。

C0XMO攻陷路由器後，會先建立持久化，再下載Python掃描器對外尋找新目標。該掃描器會檢查Telnet、SSH、HTTP與Android Debug Bridge（ADB）等服務，並透過弱密碼或已知漏洞入侵其他裝置。成功入侵後，掃描器會偵測目標處理器架構，下載對應版本的C0XMO惡意程式。

FortiGuard Labs發現，駭客準備了適用於ARM、MIPS、PowerPC、SuperH、x86與x86_64等多種架構的C0XMO版本，顯示其目標涵蓋路由器、DVR、網路影音管理平臺及Android裝置等。

C0XMO在受害主機上執行後，還會掃描系統程序，終止其他殭屍網路、安全工具與紅隊工具，並刪除相關檔案與自動啟動設定，以排除競爭對手、獨占受害裝置。完成感染後，C0XMO會連線至指揮暨控制（C2）伺服器，並支援19種分散式阻斷服務（DDoS）攻擊手法，包括TCP Flood、UDP Flood、SYN Flood、NTP放大攻擊、Memcached放大攻擊及HTTP Flood等。

Fortinet則建議企業更新網路與物聯網裝置韌體，停用不必要的Telnet與UPnP服務，強化帳號密碼管理，並監控異常對外掃描與連線行為。