حذرت Arctic Wolf ومعهد SANS من استغلال نشط لثغرة أخرى CVE-2024-7399 في خادم سامسونج MagicINFO 9، هذه الثغرة تتيح للمهاجمين كتابة ملفات ضارة على النظام دون الحاجة إلى تسجيل الدخول، وهو ما قد يؤدي لاحقا إلى تنفيذ أكواد خبيثة عن بعد.

ورغم أن سامسونج أصدرت تحديثا لإصلاح هذه الثغرة في أغسطس 2024، فإن استغلالها بدأ فعليا في 30 أبريل 2025، ما مكن القراصنة من استخدام سكربت لتحميل برمجية Mirai.

وأضافت Arctic Wolf أن هذه الثغرة تمكن المهاجمين من رفع ملفات JSP مخصصة، مما يسمح لهم بتنفيذ أكواد خبيثة بصلاحيات عالية، لذا ينصح المستخدمون بتحديث أنظمتهم إلى الإصدار 21.1050 أو أحدث لتفادي التأثيرات الأمنية المحتملة.

ثغرة أخرى في أنظمة سامسونج MagicINFO

في سياق مماثل، رصدت أنشطة إلكترونية خبيثة تستهدف أجهزة إنترنت الأشياء IoT القديمة من نوع GeoVision التي لم تعد مدعومة بالتحديثات الأمنية، حيث يستغل القراصنة ثغرات أمنية حرجة لتحويل هذه الأجهزة إلى أدوات في شبكة بوت نت من نوع Mirai تستخدم لتنفيذ هجمات حجب الخدمة الموزعة DDoS.

اكتشف فريق الاستجابة والاستخبارات الأمنية في شركة Akamai الأمريكية، هذه الهجمات لأول مرة في أبريل 2025، حيث يستغل الهجوم ثغرتين خطيرتين CVE-2024-6047 وCVE-2024-11120، مما يتيح تنفيذ أوامر نظام عشوائية عن بعد. 

تستخدم هذه الثغرات عبر واجهة برمجية في أجهزة GeoVision تدعىDateSetting، حيث يتم إدخال الأوامر الضارة في الأجهزة عن بعد، شملت الهجمات المكتشفة تحميل وتنفيذ إصدار خاص بمعالجات ARM من برمجية Mirai يعرف باسم LZRD. 

إلى جانب هذه الثغرات، استغل القراصنة ثغرات قديمة أخرى مثل تلك الموجودة في Hadoop YARN وخلل في أجهزة DigiEver تم الكشف عنه في ديسمبر 2024.

وتشير بعض الدلائل إلى أن هذه الحملة مرتبطة بمجموعة تهديدات سابقة تعرف باسم InfectedSlurs، وعلق الباحث كايل ليفتون من Akamai قائلا: “من أكثر الأساليب فعالية لدى مجرمي الإنترنت لبناء شبكات بوت نت هو استهداف الأجهزة القديمة التي تعمل بأنظمة غير محدثة وضعيفة الحماية”.

ونظرا لأن أجهزة GeoVision المتأثرة قد توقفت الشركة عن دعمها، يوصى المستخدمون بترقيتها إلى طرازات أحدث لحماية أنفسهم من التهديدات المستقبلية.