Routers van Cisco en Linksys die end-of-life zijn, zijn het doelwit van aanvallers die de apparaten met malware infecteren en vervolgens gebruiken voor het uitvoeren van andere aanvallen of aanbieden als proxy. Daarvoor waarschuwt de FBI (pdf). Volgens de Amerikaanse opsporingsdienst zijn er twee criminele diensten genaamd 5Socks en Anyproxy die het op routers hebben voorzien die geen beveiligingsupdates meer ontvangen.

Deze criminele diensten maken gebruik van bekende kwetsbaarheden om de routers te compromitteren, die vervolgens aan een botnet worden toegevoegd. Het router-botnet wordt dan voor gecoördineerde aanvallen ingezet of de toegang ertoe wordt verkocht, zodat andere criminelen de routers als proxy kunnen gebruiken voor hun aanvallen. Op deze manier kunnen aanvallers hun locatie en identiteit verbergen, zo stelt de opsporingsdienst.

De FBI adviseert eigenaren van end-of-life routers om het apparaat te vervangen met een nieuwer model en anders remote beheer uit te schakelen en een reboot uit te voeren. "Aangezien de malware router-gebaseerd is, is het lastig voor eindgebruikers om te weten of hun apparaat is gecompromitteerd, omdat virusscanners deze apparaten niet kunnen scannen", laat de opsporingsdienst verder weten. De FBI heeft Indicators of Compromise (IoC's) gegeven waarmee een besmetting toch is vast te stellen. Het gaat dan met name om bestanden die de malware op een besmette router aanmaakt.