Fortinet обнаружила новый вариант ботнета Gafgyt — C0XMO, который заражает роутеры с DD‑WRT и устройства на ARM, MIPS, x86 и других архитектурах. Вредонос использует уязвимость CVE‑2021‑27137 для установки Python‑скрипта, после чего сканирует сеть, подбирает учётные данные и загружает подходящий бинарник, создавая скрытые файлы и cron‑задачи для автозапуска. C0XMO обладает модульной архитектурой, поддерживает 19 методов DDoS (включая UDP/TCP‑флуды, NTP‑ и Memcached‑амплификацию) и уничтожает конкурирующие ботнеты. По данным Fortinet, уже зафиксированы атаки на технологическую компанию в Японии.
