A Moxfive observou que os indicadores de exploração incluem solicitações HTTP repetidas que sondam versões específicas do dispositivo, implantação de shells da Web para acesso remoto e modificações no sistema, como a desativação do SELinux e a adulteração de registros.

A empresa de segurança observou a atividade de exploração em vários setores em todo o mundo e alertou que "embora setores específicos não tenham sido destacados, as organizações que utilizam dispositivos ICS VPN vulneráveis correm um risco significativo".

De acordo com a Moxfive, os invasores demonstraram a capacidade de realizar reconhecimento, injetar scripts maliciosos, bloquear atualizações do sistema e explorar controles de acesso fracos para se movimentar lateralmente em redes comprometidas.

Para mitigar a ameaça, a Moxfive aconselhou as organizações que usam dispositivos ICS a tomar medidas proativas, incluindo a aplicação de patches de segurança, o monitoramento de indicadores de comprometimento e o fortalecimento dos controles de acesso.