Исследователи Sekoia раскрыли масштабную смишинг-кампанию, в которой задействуются промышленные сотовые маршрутизаторы Milesight.

Таинственный злоумышленник использует Milesight Industrial Cellular Routers для рассылки SMS-спама пользователям в нескольких европейских странах как минимум с февраля 2022 года, оставаясь все это время незамеченным.

Злоумышленники злоупотребляют функцией настройки получения SMS-оповещений, которая достаточно часто встречается в промышленных маршрутизаторах, которые обеспечивают подключение удалённого оборудования к более крупной сети через сотовый модем.

Sekoia полагает, что злоумышленники используют уязвимость 2023 года, обнаруженную Бипином Джитией из Cuberk Solutions.

Проблема отслеживается как CVE-2023-43261 (оценка CVSS: 7,5) и может привести к раскрытию системных журналов маршрутизаторов Milesight.

Злоумышленники могут их просматривать, находить и взламывать зашифрованные пароли администратора, которые затем можно использовать для подключения к устройствам и злоупотребления API маршрутизатора SMS для отправки фишинговых сообщений на заданный номер телефона.

Распространяемые фишинговые URL-адреса включают JavaScript, который проверяет, осуществляется ли доступ к странице с мобильного устройства, прежде чем предоставить вредоносный контент.

Более того, один из доменов, использовавшихся в кампаниях с января по апрель 2025 года - jnsi[.]xyz – содержит код JavaScript, блокирующий действия правой кнопки мыши и инструменты отладки браузера, чтобы затруднить анализ.

На некоторых страницах также были обнаружены подключения посетителей к Telegram-боту GroozaBot, управление которым осуществляет некто под именем Gro_oza, владеющий, по-видимому, арабским и французским языками.

При этом в наблюдаемой активности не замечено каких-либо попыток установки бэкдоров или эксплуатации других уязвимостей, что говорит о целенаправленном подходе, непосредственно связанном с мошенническими операциями злоумышленников.

Большая часть спама была отправлена в три страны - Швецию, Италию и Бельгию. Большинство SMS-сообщений содержали фишинговые ссылки на правительственные порталы, финансовые, почтовые и электронные сервисы.

По данным Sekoia, проведенное сканирование позволило выявить более 19 000 маршрутизаторов Milesight с API для отправки SMS.

Как минимум у 572 из них этот API доступен в интернете вообще без аутентификации, то есть злоумышленникам даже не нужно эксплуатировать уязвимость 2023 года для получения доступа.

Турция, Испания и Австралия входят в число стран с наибольшей концентрацией уязвимых устройств. При агрегировании данных почти половина выявленных уязвимых маршрутизаторов находится в Европе.

Sekoia также отметила, что API может быть общедоступным из-за ошибок в настройках, учитывая, что было обнаружено несколько маршрутизаторов с более новыми версиями прошивки, невосприимчивыми к уязвимости CVE-2023-43261.

По мнению исследователей, упомянутые устройства особенно привлекательны для злоумышленников, поскольку позволяют децентрализованно рассылать SMS по нескольким странам, что затрудняет как обнаружение, так и блокировку.

Учитывая стратегическую полезность такого оборудования, весьма вероятно, что аналогичные устройства либо уже используются в текущих кампаниях по смишингу или будут задействоваться в будущем.

Технические подробности и IOCs - в отчете.