锁定中小企业、SOHO族、家用网络设备的僵尸网络，最近2到3年有越来越泛滥的情况。例如，资安业者Sekoia揭露僵尸网络Quad7最新一波的攻击行动，就是典型的例子。研究人员在2个月前看到黑客锁定TP-Link路由器而来，如今对方扩大攻击范围，开始针对兆勤（Zyxel）、华硕、Ruckus等厂牌的网络设备下手。

这个僵尸网络也被称做7777、xlogin，这个威胁命名的由来，是因为受害的路由器都会开放Telnet连接及7777端口，而这个连接端口正是TP-Link设备的管理连接端口。此外，黑客也利用11288端口设置SOCKS代理服务器，目的是对M365帐号进行暴力破解攻击。

不久之后，研究人员找到另一个专门绑架华硕路由器的僵尸网络alogin（也称为63256），背后的攻击者身分，他们推测很可能是经营Quad7的黑客。在循线进一步调查后，发现黑客也锁定Ruckus路由器、Axentra网络存储设备、兆勤VPN设备，架设僵尸网络rlogin、axlogin、zylogin。

值得留意的是，这些黑客不只根据特定厂牌的网络设备组织多个僵尸网络，研究人员发现，黑客也在部分受害设备植入名为Updtae的后门程序，此为使用HTTP连接的反向Shell。他们推测原因是避免留下存取登录界面的记录，促使资安人员在观察互联网的活动过程当中，不易察觉异状。再者，这些黑客也似乎打算弃用开源的SOCKS代理服务器进行通信的管道。

另一种黑客使用的新工具，是名为FsyNet的bash文件，用途是进行中继攻击。