TP-Link waarschuwt voor een botnet dat verschillende kwetsbaarheden gebruikt om kwetsbare routers te infecteren, die vervolgens worden gebruikt voor het aanvallen van Microsoft 365-accounts. De beveiligingslekken zijn aanwezig in de Archer C7 en TL-WR841N/ND routers, maar mogelijk zijn ook andere modellen kwetsbaar. De genoemde routermodellen zijn end-of-life, maar TP-Link heeft toch firmware-updates uitgebracht om de problemen te verhelpen.

De eerste misbruikte kwetsbaarheid (CVE-2023-50224) maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand inloggegevens te stelen, waarmee vervolgens op de router kan worden ingelogd. Eenmaal ingelogd gebruikt de aanvaller een tweede kwetsbaarheid (CVE-2025-9377) in de ouderlijk toezichtspagina van de router waardoor remote code execution op het apparaat mogelijk is. Aanvallers maken de routers zo onderdeel van het botnet.

Routers in het "Quad 7" botnet worden ingezet voor password spraying-aanvallen tegen Microsoft 365-accounts. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt.

Vorig jaar kwam Microsoft met een waarschuwing voor het botnet. Toen was nog niet bekend welke kwetsbaarheden er werden gebruikt. Het techbedrijf stelde ook dat de aanvallen via het botnet lastig zijn te detecteren, omdat het over duizenden ip-adressen van thuisgebruikers en kleine bedrijven beschikt. TP-Link roept eigenaren van de routermodellen op om de firmware te installeren of naar een wel ondersteunde router over te stappen. Daarnaast zegt de routerfabrikant onderzoek te doen naar onbevestigde berichten van andere kwetsbare modellen. Het Amerikaanse cyberagentschap CISA heeft ook een waarschuwing voor de twee kwetsbaarheden gegeven.