לטענת ה- FBI חודרות קבוצת פשיעת הסייבר "5Socks" ו- "Anyproxy" לנתבים מיושנים של Linksys, Cisco ו- Cradlepoint ומחדירות אליהן נוזקות. לאחר הפגיעה בהם, מתווספים נתבים אלו לרשתות בוט פרוקסי ביתיות המסתירות את מקורות התוקפים כדי שאלו יוכלו לעסוק בפעילות זדונית או להפעיל מתקפות כופרה. ה- FBI ממליץ להחליף את הנתבים הישנים הללו באופן מיידי, או לכל הפחות לאתחל אותם ולהשבית את הניהול מרחוק. "אם עסק משתמש באחד מהנתבים הללו, הוא חשוף למתקפות סייבר על התשתית שלו", אמר דיוויד שיפלי מ- Beauceron Security והדגיש: "סביר להניח שמדובר בעסקים קטנים ללא חומת אש והדבר עלול להוביל גם למתקפות כופרה."
ההמלצה של ה- FBI מציינת במפורש 13 דגמים פגיעים של Linksys, Cradlepoint ו- Cisco: Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, WRT320N, WRT310N, WRT610N. Cradlepoint E100. Cisco M10
ה- FBI הזהיר כי פושעי סייבר יכולים לטשטש בדרך זו את זהותם או מיקומם, כך שייראה כי התעבורה הזדונית מגיעה מרשתות ביתיות תמימות במקום ממיקום התוקף. פושעי סייבר סורקים את האינטרנט כדי למצוא נתבים חשופים ופגיעים ולאחר מכן עוקפים שיטות אימות (כולל סיסמאות) כדי להשיג גישה ניהולית ולבצע שינויי תצורה. באמצעות גישה מתמשכת, הם מתקשרים באופן קבוע עם הנתב (כל דקה עד חמש דקות) כדי לוודא שהוא עדיין פגיע וניתן להמשיך לנצל אותו. הנוזקה שהותקנה על הנתב שולחת מידע דרך שרת שליטה ובקרה (C2) של פושעי הסייבר, בעל "לחיצת יד דו-כיוונית" עם הנתב.
יש לציין כי לעתים קרובות קשה למשתמשי קצה לדעת אם הנתב שלהם נפגע, מכיוון שכלי אנטי-וירוס רגילים אינם יכולים לסרוק אותם. "משתמשים לעיתים קרובות אינם מודעים לכך שהנתבים שלהם מיושנים ופגיעים", אמר יוהנס אולריך – דיקן המחקר במכון הטכנולוגי SANS. בנוסף ציין כי ברוב המקרים, אין אינדיקציה ברורה המציינת בפני המשתמשים שהנתב שלהם עומד להגיע לסוף חייו ולא לקבל יותר עדכונים ותמיכה. ה- FBI אומר שסימנים לפגיעה בנתב יכולים לכלול בעיות קישוריות או ביצועים (כגון קריסות תכופות), תעבורת רשת חריגה, תצורות שהשתנו והופעת חשבונות מנהל חדשים. בסופו של דבר יש להחליף את המכשירים הללו בדגמים חדשים יותר שנשארים בתוכניות התמיכה של הספק שלהם כדי למנוע הדבקה נוספת, מייעץ ה- FBI. במידה והחלפה מיידית אינה אפשרית, על המשתמשים להשבית את הניהול מרחוק, לשנות את כל האישורים (באמצעות סיסמאות חזקות שהן ייחודיות ואקראיות ומכילות לפחות 16 אך לא יותר מ- 64 תווים), להתקין את הקושחה העדכנית ביותר ולאתחל את הנתב כדי לנקות כל נוזקה מהזיכרון.
