Зловмисники експлуатували CVE-2025-20352, zero-day вразливість в програмному забезпеченні Cisco IOS та IOS XE з оцінкою CVSS 7.7, для розгортання руткіта на старіших мережевих пристроях. Ця проблема переповнення стеку в протоколі Simple Network Management Protocol (SNMP) дозволяє низькопривілейованим зловмисникам спричиняти умови відмови в обслуговуванні (DoS) та високопривілейованим — досягати віддаленого виконання коду (RCE). Cisco виправила ваду наприкінці вересня після попередження про її експлуатацію в реальних умовах. Згідно з Trend Micro, кампанія під назвою Operation ZeroDisco націлена на вразливі пристрої, такі як Cisco 9400, 9300 та legacy 3750G серії, що працюють на старіших Linux-системах без рішень виявлення відповіді кінцевих точок. Malware встановлює універсальний пароль, що містить слово ‘disco’, однолітерну зміну від ‘Cisco’. Зловмисники також використовували модифікований експлойт для CVE-2017-3881, вразливості Telnet, що дозволяє RCE через читання/запис пам’яті. На 32-бітних системах шкідливі SNMP-пакети надсилають команди, поєднані з експлойтом Telnet для довільного доступу до пам’яті. На 64-бітних системах SNMP-експлойт розгортає руткіт, за яким слідує логін через універсальний пароль для встановлення безфайлового бекдора, з VLAN-з’єднаннями, що полегшують бічний рух.

Руткіт моніторить UDP-пакети на будь-якому порту пристрою, включаючи закриті, для конфігурації чи активації функцій бекдора. Він модифікує пам’ять IOSd для встановлення універсального пароля через методи аутентифікації, приховує елементи running-config, обходить списки контролю доступу (ACL) на інтерфейсах VTY для віддаленого доступу, вимикає історію логів та скидає часові мітки запису running-config для приховування змін. Ці можливості дозволяють руткіту ховати діяльність та уникати виявлення під час розслідувань blue-team. Операція впливає на старіші, непатчені роутери та свічі Cisco, потенційно компрометуючи цілісність мережі та дозволяючи постійний несанкціонований доступ. Trend Micro зазначає, що немає універсального автоматизованого інструменту для надійного виявлення компрометацій. Якщо свіч підозрюється в ураженні, організації повинні негайно звернутися до Cisco Technical Assistance Center (TAC) для допомоги в розслідуванні firmware, ROM та регіонів завантаження.