10月20日，AWS发生大规模服务中断，影响142项服务及多家知名企业的应用系统运行。期间，安全公司Fortinet发现僵尸网络病毒ShadowV2出现新一轮活动，攻击者利用物联网设备的漏洞进行传播，影响范围覆盖全球，包括中国大陆在内的28个国家。受害组织涉及科技、零售与酒店业、制造业、安全服务托管供应商（MSSP）、政府、电信运营商以及教育等多个行业。值得注意的是，此次攻击仅持续了3小时，Fortinet认为攻击者可能正在测试攻击手段，为后续大规模攻击做准备。

本次攻击利用的漏洞中，有一半是D-Link路由器和网络存储设备（NAS）的已知漏洞，CVSS风险评分均为9.8分，具体编号为：CVE-2020-25506、CVE-2022-37055、CVE-2024-10914和CVE-2024-10915。值得注意的是，除CVE-2024-10915已有补丁外，其余三项漏洞因受影响设备已终止生命周期（EOL），D-Link表示不会提供固件更新，建议用户更换设备。

此外，ShadowV2还利用了其他尚未发布补丁的漏洞，包括永恒数字通讯科技（Digiever）网络视频监控设备（NVR）的CVE-2023-52163、TP-Link路由器的CVE-2024-53375、TBK DVR设备的CVE-2024-3721，以及开源路由器固件DD-WRT的CVE-2009-2765。

根据Fortinet分析，ShadowV2是Mirai僵尸网络的变种，其结构与另一变种LZRD相似。该恶意程序启动时会解密经过XOR算法加密的配置文件并完成初始化，随后连接命令与控制（C2）服务器，接收分布式拒绝服务（DDoS）攻击指令并执行。

ShadowV2曾在三个月前出现过一次活动，当时安全公司Darktrace发现攻击者针对AWS EC2环境，寻找暴露在互联网上的Docker容器，劫持后用于提供“DDoS攻击即服务”（DDoS-for-hire）。