FortiGuard 实验室观察到，在 2024 年 10 月和 11 月期间，两个臭名昭著的僵尸网络 FICORA 和 CAPSAICIN 的活动明显激增。這些僵尸网络利用 D-Link 装置中长期存在的漏洞发动广泛攻击。

这些僵尸网络所针对的漏洞（有些可追溯到近十年前）包括 CVE-2015-2051、CVE-2019-10891、CVE-2022-37056 和最近的 CVE-2024-33112。这些在 HNAP（家庭网络管理协议）接口中发现的漏洞允许攻击者远程执行恶意命令。尽管这些缺陷已被详细记录，但由于未打补丁设备的扩散，它们仍构成重大风险。

FortiGuard 实验室强调了此类漏洞的持续相关性，指出：“攻击者经常重复使用旧的攻击，这就是‘FICORA’和‘CAPSAICIN’僵尸网络持续蔓延的原因。”

FICORA 僵尸网络是臭名昭著的 Mirai 恶意软件的一个变种，它使用一个名为 “multi ”的 shell 脚本来下载和执行其有效载荷。该下载脚本可适应各种 Linux 架构，目标系统从 ARM 到 SPARC 不等。该恶意软件具有 DDoS 功能，可利用 UDP、TCP 和 DNS 等协议破坏网络。

FICORA 的一个独特功能是使用 ChaCha20 加密算法对其配置进行编码，包括其命令与控制（C2）服务器的详细信息。报告指出，“FICORA 中的扫描器包括一个硬编码的用户名和密码，用于其暴力破解攻击功能”，这表明其传播方式具有侵略性。

与 FICORA 的全球影响力形成鲜明对比的是，CAPSAICIN 僵尸网络在 2024 年 10 月 21 日和 22 日表现出短暂的爆发性活动，主要针对东亚国家。CAPSAICIN 通过名为 “bins.sh ”的下载脚本发送，主要通过杀死已知的僵尸网络进程来控制受害主机。

据信，该僵尸网络是基于Keksec组织开发的恶意软件版本，集成了大量攻击功能，包括DDoS命令和环境变量操作。FortiGuard 实验室的分析揭示了其复杂性： “CAPSAICIN与其C2服务器 “192[.]110[.]247[.]46 ”建立连接套接字，并将受害主机的操作系统信息和恶意软件给出的昵称发送回C2服务器。”