一場基於 Mirai 的新型惡意軟體活動正在積極利用 CVE-2025-29635（影響 D-Link DIR-823X 路由器的高風險命令注入漏洞）將裝置納入殭屍網路。CVE-2025-29635 允許攻擊者透過向易受攻擊的端點發送 POST 請求來觸發遠端命令執行(RCE) ，從而在遠端設備上執行任意命令。

Akamai 的 SIRT 於 2026 年 3 月檢測到了 Mirai 攻擊活動，報告稱，雖然該漏洞早在 13 個月前就由安全研究人員王金帥和趙江廷披露，但這是首次觀察到該漏洞在實際環境中被積極利用。Akamai 的報告稱：「Akamai 安全事件響應小組 (SIRT) 於 2026 年 3 月初在其全球蜜罐網路中發現了 D-Link 命令注入漏洞 CVE-2025-29635 的積極利用嘗試。D-Link DIR-823X 系列路由器的韌體版本 240126 和 24082 中存在此漏洞，授權攻擊者可以透過相應的函數向 /goform/set_prohibiting 端點發送 POST 請求，從而觸發遠端命令執行，進而對遠端設備執行任意命令。」

Akamai 的觀察顯示，攻擊者正在傳送 POST 請求，這些請求會更改可寫入路徑上的目錄，從外部 IP 下載 shell 腳本 (dlink.sh) 並執行它。Akamai 還發現，這次攻擊活動背後的攻擊者還利用了 CVE-2023-1389 漏洞（影響 TP-Link 路由器）以及 ZTE ZXV10 H108L 路由器中的另一個遠端程式碼執行 (RCE) 漏洞。所有這些攻擊都採用了相同的攻擊模式，最終都部署了 Mirai 惡意負載。

受影響的設備已於2024 年 11 月停止銷售，因此該型號的最新韌體很可能無法修復 CVE-2025-29635 漏洞。 D-Link 在偵測到漏洞時不會例外，因此該廠商現在不太可能提供修復修補程式。

建議已達到產品生命週期結束 (EoL) 的路由器使用者升級到享有積極支援和頻繁安全修復的新型號，如果不需要則停用遠端管理門戶，更改預設管理員密碼，並監控意外的設定變更。

資料來源：https://www.bleepingcomputer.com/news/security/new-mirai-campaign-exploits-rce-flaw-in-eol-d-link-routers/