Palo Alto Networks' Unit 42 資安研究小組發現，駭客試圖利用漏洞下載惡意的 shell script 以執行 Mirai 變種及進行暴力破解程序。

其中被利用的漏洞有：
VisualDoor
 一個 SonicWall SSl-VPN 遠程命令注入漏洞，於今年1月初公開

CVE-2020-25506
D-Link DNS-320 防火牆遠程執行代碼（RCE）漏洞

CVE-2021-27561 和 CVE-2021-27562
Yealink 設備管理中的兩個漏洞允許未經身份驗證的攻擊者以 root 特權在服務器上運行任意命令

CVE-2021-22502
Micro Focus Operation Bridge Reporter（OBR）中的 RCE 缺陷，影響版本10.40

CVE-2019-19356
Netis WF2419 無線路由器 RCE 漏洞利用

CVE-2020-26919
Netgear ProSAFE Plus RCE 漏洞

不管成功利用漏洞有多少，攻擊行動都涉及使用 wget 實用程序從惡意軟件基礎結構中下載 Shell 腳本，用於獲取 Mirai 二進製文件，並將運行 Linux的聯網 IoT 設備變成遠程控制的機器人，可在大規模網絡攻擊中作為殭屍網絡的一部分。

此外，來自中國的 Netlab 360研究人員發現了一個新的基於 Mirai 的殭屍網絡——ZHtrap，該殭屍網絡利用蜜罐（Honeypot）收集更多的受害者，同時藉鑑了名為 Matryosh 的 DDoS 殭屍網絡的某些功能。

蜜罐通常模仿網絡罪犯的目標，以利用其入侵企圖來收集有關其作案手法的更多信息，而 ZHtrap 殭屍網絡通過集成掃描IP收集模塊來收集用作目標的IP 地址，從而使用了類似的技術,並用於進一步蠕蟲狀傳播。它通過偵聽23個指定端口並識別連接到這些端口的 IP 地址，然後使用聚集的 IP 地址檢查它們是否存在四個漏洞來注入有效載荷以實現此目的：

1. MVPower DVR Shell 未經認證的 RCE
2. Netgear DGN1000 Setup.cgi 未經身份驗證的 RCE
3. 閉路電視DVR RCE 影響多個供應商，以及
4. Realtek SDK miniigd SOAP 命令執行（CVE-2014-8361）

參考資料：
https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html