网络安全专家Incapsula发布的一份最新报告显示，他们已经发现了一个DDoS僵尸网络劫持了成千上万的路由器，并且在去年12月下旬发动了第一波应用层的HTTP 洪水攻击。攻击流量来自全球范围属于1600个互联网服务商的40269个IP地址，IP地址被追溯到肇事者用来远程指挥恶意流量的60个指挥和控制系统。

研究发现，攻击大量使用了SOHO路由器，主要是基于ARM 的Ubiquiti设备，安全研究者最初假定黑客是通过一个共享的固件漏洞获取这些路由器的控制权，但是，进一步的检查发现，这些控制都是通过HTTP和 SSH默认端口远程访问。最重要的是，几乎所有的路由器都有厂商提供的默认远程登录凭据，这允许Mr.Black恶意软件的变种被注入路由器。

统计数据显示，超过85%被感染的路由器都位于泰国和巴西，而大多数的命令和控制服务器都在美国（21%）和中国（73%）。在发布这份报告之 前，Incapsula联系路由器供应商和互联网服务供应商，它敦促路由器用户禁用路由器管理界面远程（广域网）登陆，更改默认的管理员登录名，升级设备 的固件到最新版本。