Các tác nhân đe dọa không xác định đang lạm dụng các bộ định tuyến di động công nghiệp Milesight để gửi tin nhắn SMS trong một chiến dịch smishing nhắm vào người dùng ở các quốc gia châu Âu kể từ ít nhất tháng 2 năm 2022.
Công ty an ninh mạng Pháp SEKOIA cho biết những kẻ tấn công đang khai thác API của bộ định tuyến di động để gửi các tin nhắn SMS độc hại chứa các URL phishing, với các chiến dịch chủ yếu nhắm vào Thụy Điển, Ý và Bỉ bằng cách sử dụng các URL typosquatted mạo danh các nền tảng chính phủ như CSAM và eBox, cũng như các nhà cung cấp dịch vụ ngân hàng, bưu chính và viễn thông.
Trong số 18.000 bộ định tuyến loại này có thể truy cập trên internet công cộng, không dưới 572 bộ được đánh giá là có khả năng dễ bị tấn công do chúng để lộ các API hộp thư đến/hộp thư đi. Khoảng một nửa số bộ định tuyến dễ bị tấn công được xác định nằm ở châu Âu.
"Hơn nữa, API cho phép truy xuất cả tin nhắn SMS đến và đi, điều này cho thấy lỗ hổng đã bị khai thác tích cực để phát tán các chiến dịch SMS độc hại kể từ ít nhất tháng 2 năm 2022," công ty cho biết. "Không có bằng chứng về bất kỳ nỗ lực nào để cài đặt backdoors hoặc exploit các lỗ hổng khác trên thiết bị. Điều này cho thấy một phương pháp tiếp cận có mục tiêu, phù hợp cụ thể với các hoạt động smishing của kẻ tấn công."
Người ta tin rằng những kẻ tấn công đang khai thác một lỗ hổng tiết lộ thông tin đã được vá ảnh hưởng đến các bộ định tuyến Milesight (CVE-2023-43261, điểm CVSS: 7.5), đã được tiết lộ bởi nhà nghiên cứu bảo mật Bipin Jitiya chính xác hai năm trước. Vài tuần sau, VulnCheck tiết lộ rằng lỗ hổng có thể đã được vũ khí hóa trong thực tế ngay sau khi công khai.
Điều tra sâu hơn đã tiết lộ rằng một số bộ định tuyến công nghiệp để lộ các tính năng liên quan đến SMS, bao gồm gửi tin nhắn hoặc xem lịch sử SMS, mà không yêu cầu bất kỳ hình thức xác thực nào.
Các cuộc tấn công có khả năng bao gồm một giai đoạn xác thực ban đầu, trong đó các tác nhân đe dọa cố gắng xác minh xem một bộ định tuyến cụ thể có thể gửi tin nhắn SMS hay không bằng cách nhắm mục tiêu vào một số điện thoại dưới sự kiểm soát của chúng. SEKOIA cũng lưu ý rằng API cũng có thể truy cập công khai do các cấu hình sai, vì một vài bộ định tuyến đã được tìm thấy đang chạy các phiên bản firmware gần đây hơn mà không dễ bị tấn công bởi CVE-2023-43261.
Các URL phishing được phân phối bằng phương pháp này bao gồm mã JavaScript kiểm tra xem trang có được truy cập từ thiết bị di động hay không trước khi phục vụ nội dung độc hại, sau đó sẽ thúc giục người dùng cập nhật thông tin ngân hàng của họ để được hoàn tiền theo cáo buộc.
Hơn nữa, một trong các miền được sử dụng trong các chiến dịch từ tháng 1 đến tháng 4 năm 2025 – jnsi[.]xyz – có mã JavaScript để vô hiệu hóa các hành động nhấp chuột phải và các công cụ debug trình duyệt nhằm cản trở nỗ lực phân tích. Một số trang cũng được tìm thấy đã ghi lại các kết nối của khách truy cập vào một Telegram bot có tên GroozaBot, được vận hành bởi một tác nhân có tên "Gro_oza," người dường như nói cả tiếng Ả Rập và tiếng Pháp.
"Các chiến dịch smishing dường như đã được thực hiện thông qua việc khai thác các bộ định tuyến di động dễ bị tấn công – một vector phân phối tương đối không tinh vi, nhưng hiệu quả," SEKOIA cho biết. "Các thiết bị này đặc biệt hấp dẫn đối với các tác nhân đe dọa vì chúng cho phép phân phối SMS phi tập trung trên nhiều quốc gia, làm phức tạp cả nỗ lực phát hiện và gỡ bỏ."
