研究人员警告称，自2022年8月初以来，把Realtek Jungle SDK中的一个关键远程代码执行漏洞变得武器化的攻击尝试开始激增。

根据Palo Alto Networks第42部门调查，截至2022年12月，正在进行的攻击活动记录了1.34亿次攻击尝试，而其中97%的攻击发生在过去四个月之中。

而其中近50%的袭击来自美国（48.3%），其次是越南（17.8%）、俄罗斯（14.6%）、荷兰（7.4%）、法国（6.4%）、德国（2.3%）和卢森堡（1.6%）。

更为重要的是，95%的攻击利用了俄罗斯的安全缺陷，特别是澳大利亚的组织更是针对其进行攻击。

Unit 42的研究人员在一份报告中表示：“我们观察到的许多攻击都试图传递恶意软件来感染易受攻击的物联网设备。”并补充道，“威胁集团正在利用这个漏洞对世界各地的智能设备进行大规模攻击。”

问题中的漏洞是CVE-221-35394、一组缓冲区溢出和任意命令注入漏洞，这些漏洞可能被武器化，以最高权限执行任意代码并接管受影响的设备。

这些问题于2021年8月由ONEKEY（之前的物联网检查员）披露，该漏洞影响D-Link、LG、Belkin、Belkin和NETGEAR等多种设备。

Realtek漏洞

42号机组发现了三种不同类型的有效载荷，这是对该缺陷的疯狂利用

脚本在目标服务器上执行shell命令以下载其他恶意软件

一个注入的命令，将二进制负载写入文件并执行它，以及

直接重新启动目标服务器以导致拒绝服务（DoS）情况的注入命令

通过滥用CVE-221-35394还提供了已知的僵尸网络，如Mirai、Gafgyt和Mozi，以及一个新的基于Golang的分布式拒绝服务（DDoS）僵尸网络RedGoBot。

在2022年9月首次观察到，RedGoBot活动涉及删除一个shell脚本，该脚本旨在下载针对不同CPU架构定制的多个僵尸网络客户端。该恶意软件一旦启动，就可以运行操作系统命令并发起DDoS攻击。而这些发现再次强调了及时更新软件以避免暴露于潜在威胁的重要性。

相关研究人员总结道：“利用CVE-221-35394的攻击激增数据表明，威胁者对供应链漏洞非常感兴趣，然而普通用户很难识别和修复这些漏洞。这些问题可能使受影响的用户难以识别正在开发的特定下游产品。”