Varning: Tusentals routere kapade – här är listan du bör kolla

Äldre Cisco-modeller utnyttjas i ny attack

Experter varnar nu för en aktiv cyberattack där hackare utnyttjar en kritisk sårbarhet i äldre Cisco Small Business-routere. Det handlar om en bugg i den webbaserade administrationspanelen, där bristfällig validering av användarinmatning gör det möjligt att köra skadlig kod.

LÄS OCKSÅ: Tap to pay: iPhone som kortterminal – Nu kommer det även till Danmark

Sårbarheten saknar lösning – byta ut router rekommenderas

Cisco har själva bekräftat att ingen säkerhetsuppdatering kommer att släppas, då de berörda modellerna är föråldrade och inte längre stöds. Har du någon av följande modeller hemma eller på jobbet?
RV016, RV042, RV042G, RV082, RV320 eller RV325
Då rekommenderas du starkt att byta ut routern.

Hackargruppen ViciousTrap bakom attacken

Det franska cybersäkerhetsföretaget Sekoia har publicerat en rapport om den ansvariga gruppen, som kallar sig ViciousTrap. Genom att utnyttja sårbarheten CVE-2023-20118 laddar de upp ett skript kallat NetGhost på drabbade routere. Det gör det möjligt för angriparna att omdirigera trafik via vissa portar till servrar de själva kontrollerar – och därmed spionera på nätverkstrafiken.

LÄS OCKSÅ: Apple rättar till en 25 år gammal detalj – ny knappdesign i M4 MacBook Air

Över 5 000 enheter i 84 länder drabbade

Hittills har cirka 5 300 routere i 84 länder blivit en del av botnätverket. De flesta infekterade enheterna finns i Macau, där över 850 enheter har identifierats.

Tidigare varning – sårbarheten har använts förut

Det är inte första gången just denna sårbarhet utnyttjas. Redan i februari 2025 rapporterade TechRadar om botnätet PolarEdge, som använde samma sårbarhet mot enheter från Cisco, ASUS, QNAP och Synology. Då handlade det om cirka 2 000 infekterade enheter.

LÄS OCKSÅ: Musk-effekten: Teslas varumärke i botten – rankas lägre än Temu i USA

Attacken spåras till en IP-adress – Kina misstänks

Forskarna hos Sekoia säger att attackerna mot Cisco-enheterna började i mars 2025, och att alla försök kommer från en och samma IP-adress. Den skadliga kod som används har likheter med tidigare attacker, vilket tyder på att samma aktörer ligger bakom. Mycket pekar på att gruppen har kopplingar till Kina, men det är ännu inte bekräftat.