시스코(Cisco) 위협 정보팀인 탈로스 인텔리전스(Talos Intelligence)의 블로그에 따르면 전 세계 54개국, 50만 대 이상의 소비자용 라우터가 VPN필터(VPNFilter) 멀웨어에 감염된 것으로 나타났다. 영향을 받은 장치는 링크시스(Linksys), 미크로틱(MikroTik), 넷기어(NETGEAR) 및 TP 링크(TP-Link) 네트워킹 장비 및 QNAP 네트워크 연결 저장 장치 등이다.

VPN필터 멀웨어는 웹사이트의 자격 증명을 훔쳐 모드버스 스카다(Modbus SCADA) 프로토콜을 모니터링 할 수 있는 정교한 다단계 모듈식 멀웨어 시스템이다. 감염된 장치를 완전히 비활성화할 수 있으므로 치명적이다. 개인 컴퓨터는 물론 대규모 시스템에토 침투할 수 있다. 그 파괴적인 힘은 전 세계 수십만 명의 피해자들이 인터넷에 접속하지 못하도록 막을 수 있다.

이것은 블랙에너지(BlackEnergy) 멀웨어와 유사하다. 블랙에너지는 우크라이나의 장치를 대규모로 공격한 멀웨어다. 또 VPN필터는 동유럼 국가의 네트워크 호스트를 감염시킬 위험이 높았다. 게다가 침입 차단 시스템이나 바이러스 백신 패키지를 사용하기 힘들어 VPN필터가 노리는 장치를 보호하기 어렵다.

VPN필터는 재부팅 이후에도 살아남을 수 있다. 공격자들의 주요 목적 1단계는 멀웨어를 설치하는 것이고 2단계는 멀웨어를 배포하는 것이다.

단, 2단계에 들어선 멀웨어는 재부팅을 견디지 못한다. 하지만 파일 수집, 명령 실행, 데이터 추출 및 장치 관리와 같은 업무용 인텔리전스 수집 플랫폼에서 예상되는 작업을 실행할 수 있다.

2단계 멀웨어에서 플러그인으로 작동하는 2개의 3단계 모듈이 있는데 첫 번째 모듈은 웹사이트 자격 증명 도용 및 모드버스 스카다 프로토콜 모니터링을 포함해 장치를 통과하는 트래픽을 수집하는 패킷 스니퍼다. 두 번째 모듈은 토(Tor)에서 멀웨어와 통신할 수 있는 통신 모듈이다. 현재까지는 이렇게 2개의 모듈이 발견됐지만 탈로스 연구진들은 앞으로 더 많은 모듈이 발견될 것이라고 확신한다.