Невідомі актори загроз експлуатують промислові клітинні роутери Milesight для проведення смішингової кампанії, спрямованої на користувачів у європейських країнах, зокрема Швеції, Італії та Бельгії, з щонайменше лютого 2022 року. Французька компанія з кібербезпеки SEKOIA повідомила, що атакуючі використовують API роутерів для надсилання шкідливих SMS-повідомлень, що містять фішингові URL, які імітують державні платформи, як CSAM та eBox, а також банківські, поштові та телеком-провайдерські сервіси. Ці URL часто використовують техніки тайпосквотингу для обману користувачів.

Технічний аналіз виявив, що з 18 000 публічно доступних роутерів Milesight щонайменше 572 потенційно вразливі через відкриті API inbox/outbox, з половиною розташованими в Європі. Вразливість, ідентифікована як CVE-2023-43261 з балом CVSS 7.5, є вадою розкриття інформації, яка була розкрита два роки тому дослідником безпеки Bipin Jitiya та пізніше виявлена як озброєна в дикій природі. SEKOIA зазначила, що API дозволяє витягувати як вхідні, так і вихідні SMS-повідомлення, вказуючи на активну експлуатацію для смішингу з лютого 2022 року, хоча немає доказів експлуатації бекдорів чи інших вразливостей, що свідчить про фокусований підхід на смішингових операціях.

Подальше розслідування показало, що деякі роутери експонують функції, пов’язані з SMS, такі як надсилання повідомлень чи перегляд історії SMS, без аутентифікації, потенційно через неправильні конфігурації. Деякі роутери, що працюють на недавніх версіях firmware, не піддаються CVE-2023-43261, але все ще публічно доступні. Фішингові URL, що поширюються, включають JavaScript, який перевіряє доступ з мобільних пристроїв перед відображенням вмісту, що закликає користувачів оновити банківську інформацію для нібито відшкодувань. Крім того, домени, як jnsi[.]xyz, використані між січнем та квітнем 2025 року, містять JavaScript для відключення правої кнопки миші та інструментів дебагінгу браузера, а деякі сторінки логують з’єднання відвідувачів до Telegram-бота під назвою GroozaBot, керованого актором на ім’я “Gro_oza”, який комунікує арабською та французькою.

Смішингові кампанії використовують децентралізовану природу вразливих клітинних роутерів, роблячи зусилля з виявлення та зняття більш складними. SEKOIA підкреслила, що ці пристрої привабливі для акторів загроз для уможливлення розподілу SMS по кількох країнах, як зазначено в їх звіті: “Смішингові кампанії, здається, проводилися через експлуатацію вразливих клітинних роутерів – відносно невибагливий, але ефективний вектор доставки.”