今年8月、9月，资安业者Team Cymru及Sekoia针对僵尸网络Quad7的攻击行动提出警告，指出黑客锁定TP-Link、兆勤（Zyxel）、华硕、Ruckus等厂牌的网络设备而来，最近有新的调查结果出炉，发动攻击的黑客可能与中国有关。

10月31日微软发布调查报告指出，他们从2023年8月开始，发现有客户遭到入侵的情况，而这些资安事故的共通点，在于黑客成功窃得帐密数据，而能够在高度回避侦测的情况下，进行密码泼洒（password spray）攻击，研究人员循线找到遭骇设备组成的僵尸网络，并指出中国黑客Storm-0940使用该僵尸网络窃得的帐密数据。

僵尸网络Quad7也被称为xlogin，微软则是叫做CovertNetwork-1658，最早是由研究人员Gi7w0rm于去年10月揭露，当时他看到约有1万个节点组成，被用于针对Azure环境进行暴力破解攻击。该僵尸网络被称为Quad7及xlogin的由来，是因为受害路由器会打开TCP 7777端口，以及在通信过程会回传xlogin的标头而得。

微软的研究人员指出，这个僵尸网络由SOHO路由器组成，其中又以TP-Link的网络设备占大多数，根据他们的调查，经营该僵尸网络的人士很可能位于中国，并通过路由器的漏洞而能够远程运行代码进行相关攻击，而且，有多组中国黑客使用该僵尸网络窃得的帐密数据，其中一组人马就是自2021年开始活跃的Storm-0940。

这些黑客主要的攻击范围涵盖北美及欧洲，智库、政府机关、非政府组织、法律事务所、国防产业都是其目标。

而对于Quad7的攻击行动，研究人员提到，黑客在成功入侵路由器后，很有可能遵循特定的模式进行密码泼洒攻击。

首先，对方会从FTP下载Telnet运行档、xlogin后门程序，然后借由这2支程序在TCP 7777端口启动Command Shell，并以后门程序进行连接及身分验证，监听该连接端口。

接着，攻击者会下载另一支程序，使用TCP 11288端口运行SOCKS5服务器。

为何这波攻击行动难以察觉？研究人员提及这个僵尸网络的活动频率相当低，就大部分攻击行为而言，他们发现该僵尸网络一天只会对每个帐号尝试登录1次。

再者，这些黑客滥用遭骇的SOHO环境IP位址从事攻击行动，而且还是使用多达数千个IP位址不定期进行更换，他们使用的节点平均运作周期约为90天。

值得留意的是，先前资安业者公开Quad7调查结果后，相关活动出现大幅下滑的现象，但该僵尸网络并未完全消声匿迹，微软表示，攻击者很有可能根据调查报告的内容进行调整，因为，他们近期再度发现相关活动出现显著增加的情形。