У жовтні 2025 року компанія Huntress попередила про широкомасштабний компроміс пристроїв SonicWall SSL VPN. Зловмисники швидко автентифікуються в кількох облікових записах, використовуючи дійсні облікові дані, а не brute-force атаки. Активність розпочалася 4 жовтня, вплинувши на понад 100 акаунтів у 16 середовищах клієнтів. Автентифікації походять з IP-адреси 202.155.8[.]73. У деяких випадках зловмисники від’єднуються після коротких сесій, але в інших проводять сканування мережі та намагаються отримати доступ до додаткових ресурсів. Це слідує за розкриттям SonicWall 9 жовтня про несанкціонований доступ до файлів резервних копій конфігурації брандмауерів для всіх користувачів хмарного сервісу резервного копіювання, які містять зашифровані облікові дані.

Компроміс призвів до несанкціонованого доступу в кількох середовищах клієнтів, з потенційним бічним рухом. Доступ до хмарних резервних копій впливає на всіх користувачів, підвищуючи ризики цільових атак. SonicWall надає інструменти для оцінки та виправлення, рекомендуючи перевіряти пристрої в порталі MySonicWall, скидати облікові дані та моніторити підозрілі автентифікації. Ці події підкреслюють вразливості в SSL VPN та хмарних сервісах SonicWall, потенційно дозволяючи ширші вторгнення в мережі.