Theo Cisco, đứng sau mã độc có tên VPNFilter này có thể là một nhóm hacker đang làm việc cho một quốc gia phát triển. VPNFilter là loại mã độc tinh vi, có nhiều giai đoạn tấn công, có thể đánh cắp thông tin đăng nhập website và theo dõi các hệ thống điều khiển công nghiệp SCADA và phát động tấn công tới các thiết bị khác và phá hủy vĩnh viễn các thiết bị chỉ với một lệnh duy nhất. Đáng chú ý đây là một trong số không nhiều những loại mã độc vẫn "sống sót" ngay cả sau khi thiết bị được khởi động lại (reboot).

Quá trình lây lan của mã độc này xảy ra ít nhất từ năm 2016, cho tới nay đã lan rộng ở ít nhất 54 quốc gia trong đó có Việt Nam. Các nhà nghiên cứu Cisco đã theo dõi hoạt động của mã độc này trong nhiều tháng. Mạng botnet này không tấn công vào lỗi zero-days trên thiết bị mà khai thác dựa trên những lỗ hổng phổ biến, đã được công bố hoặc sử dụng thông tin xác thực mặc định để chiếm quyền điều khiển. Thiết bị home routers và thiết bị lưu trữ có kết nối internet của các hãng Linksys, MikroTik, Netgear và TP-Link là đối tượng có tiềm ẩn nguy cơ bị tấn công cao.

Trong 3 tuần qua, số vụ tấn công của mã độc VPNFilter tăng vọt, trong đó có 2 vụ tấn công lớn vào các thiết bị đặt tại Ukraine. Trước thực trạng tăng vọt này, cộng thêm thực tiễn năng lực tấn công của mã độc đã được nhóm hacker cải tiến, nhóm chuyên gia của Cisco đã buộc phải phát báo cáo cảnh báo của họ ngay trước khi nghiên cứu về mã độc VPNFilter hoàn tất.

Trong diễn biến liên quan, nhà cung cấp phần mềm chống virus Symantec cũng ra thông báo của hãng cho biết những thiết bị router đã bị mã độc VPNFilter tấn công gồm:

Linksys E1200
Linksys E2500
Linksys WRVS4400N
Hệ điều hành Mikrotik RouterOS cho các thiết bị Cloud Core Router, các phiên bản 1016, 1036 và 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
Các thiết bị QNAP NAS khác chạy phần mềm QTS
TP-Link R600VPN