Er is een nieuwe variant van de Internet of Things-worm genaamd "Hajime" ontdekt die MikroTik-routers probeert te besmetten via een exploit die door de Amerikaanse geheime dienst CIA is ontwikkeld. De eerste Hajime-variant werd eind 2016 aangetroffen en verspreidde zich via onbeveiligde IoT-apparaten.

Het ging om apparaten waarvan de Telnet-poort openstond en die standaardwachtwoorden gebruikten. Hajime viel op omdat het besmette IoT-apparaten leek te beveiligen. De worm toonde elke 10 minuten een boodschap op de terminal met de tekst "Just a white hat, securing some systems." Vervolgens werden poort 23, 7547, 5555 en 5358 gesloten. Deze poorten worden onder andere door de beruchte Mirai-worm gebruikt om IoT-apparaten aan te vallen.

De nieuwste Hajime-variant heeft het op kwetsbare MikroTik-routers voorzien, die het via scans op poort 8291 probeert te vinden. Wanneer er een MikroTik-router met een open poort 8291 is gevonden worden andere veelgebruikte webpoorten gescand. Vervolgens controleert Hajime het versienummer van de router en voert de "Chimay Red" exploit uit, die werkt tegen MikroTik-routers met RouterOS versie 6.38.4 en ouder. Het bestaan van de exploit kwam aan het licht dankzij WikiLeaks. De klokkenluiderssite kreeg een grote verzameling tools, exploits en documenten van de CIA in handen genaamd "Vault 7".

Criminelen maken nu gebruik van de CIA-exploit om MikroTik-routers onderdeel van een botnet te maken. Securitybedrijf 360 Netlab ontdekte de scans op poort 8291 die van 860.000 unieke ip-adressen afkomstig waren. Dit wil niet zeggen dat dit ook allemaal gehackte MikroTik-routers zijn. Het gaat om de ip-adressen van allerlei soorten machines die onderdeel van het Hajime-botnet zijn. De meeste besmette ip-adressen bevinden zich in Brazilië. Eigenaren van een MikroTik-router krijgen het advies om onnodige verzoeken naar poort 8291 te blokkeren en de laatste versie van RouterOS te installeren, het besturingssysteem van de router.