黑客瞄准已停止生命周期（EOL）的网络设备或物联网装置，利用公开但尚未修复的已知漏洞发起攻击，并植入僵尸网络病毒或其他恶意程序，此类事件不断重复发生。最近一起攻击活动利用了一年前披露的安全漏洞，引起了研究人员的关注。

安全公司Akamai于今年3月发现，D-Link路由器型号DIR-823X遭到攻击，黑客利用命令注入漏洞CVE-2025-29635，部署了僵尸网络Mirai的变种tuxnokill。由于该系列路由器已终止生命周期，厂商未提供补丁，黑客可能持续利用此漏洞进行攻击。

我们向D-Link进一步咨询，该公司表示，DIR-823X仅在中国大陆销售，因此不影响中国大陆以外地区用户。该设备已于2024年11月终止生命周期，并将于2025年8月停止技术支持，但未明确说明该漏洞是否已完成修复。

CVE-2025-29635为命令注入漏洞，影响DIR-823X的240126与240802版本固件。获得授权的攻击者可通过特定功能，向/goform/set_prohibiting发送POST请求触发漏洞，实现远程代码执行（RCE），CVSS风险评分为8.8分，属高危等级。该漏洞于2025年3月被披露，报告此漏洞的研究人员曾公开了概念验证代码（PoC）。从时间点判断，D-Link极有可能尚未发布新版固件修复该漏洞。

针对本次黑客部署僵尸网络病毒tuxnokill的过程，攻击者会使用Shell脚本尝试利用漏洞，随后下载并执行恶意载荷。除D-Link路由器外，Akamai还发现黑客同时攻击了另外两款路由器，分别为TP-Link Archer AX21和中兴ZXV10 H108L。