2025年6月，美国网络与基础设施安全局（CISA）宣布，TP-Link无线路由器漏洞CVE-2023-33538已被实际利用，并将其列入已知被利用漏洞清单（KEV）。近期，多家安全公司发现，攻击者正在大规模扫描该漏洞，试图植入Mirai僵尸网络的变种。

安全公司Palo Alto Networks在CISA发布KEV期间监测到大规模漏洞利用行为。攻击者向目标设备发送GET请求，利用ssid参数执行多条命令，从指定IP地址下载ELF二进制文件，并赋予该文件读取、写入和执行权限，随后通过TP-Link设备的特定参数运行该文件。根据攻击所用指令特征，该公司判断其为僵尸网络活动。经进一步分析，确认该恶意程序为Mirai变种Condi。

该僵尸网络具备自我更新能力，攻击者通常将受控路由器设置为网页服务器，用以托管恶意二进制文件，进而向其他存在相同漏洞的路由器进行横向传播。

CVE-2023-33538为命令注入漏洞，影响TP-Link多款路由器型号，包括TL-WR940N V2/V4、TL-WR841N V8/V10以及TL-WR740N V1/V2，CVSS风险评分为8.8，属于高危等级。攻击者可通过/userRpm/WlanNetworkRpm组件触发该漏洞。值得注意的是，上述型号路由器已停止官方支持（EOL），若用户未及时更换设备，将长期暴露在攻击风险之下，成为持续被利用的渗透入口。