Die von Fortinet beschriebene Angriffskette beginnt mit der Ausnutzung von CVE-2024-3721, über die ein Downloader-Skript auf das Gerät gelangt. Dieses Skript startet anschließend die zur Architektur des jeweiligen Linux-Systems passende Botnetz-Komponente. Nach der Ausführung zeigt die Schadsoftware die Meldung „nexuscorp hat die Kontrolle übernommen" an.

Nach Angaben des Herstellers ähnelt Nexcorium in seinem Aufbau der bekannten Mirai-Variante: Dazu zählen eine XOR-kodierte Initialisierung der Konfigurationstabelle, ein Watchdog-Modul und ein DDoS-Angriffsmodul. Zusätzlich bringt die Malware einen Exploit für CVE-2017-17215 mit, um im Netzwerk befindliche Geräte vom Typ Huawei HG532 anzugreifen. Über eine fest hinterlegte Liste von Benutzernamen und Passwörtern versucht sie zudem, per Telnet-Verbindung Brute-Force-Angriffe gegen weitere Hosts der Opfer durchzuführen.

Gelingt die Telnet-Anmeldung, verschafft sich die Schadsoftware eine Shell, verankert sich über crontab und einen systemd-Dienst dauerhaft und verbindet sich mit einem externen Server, um Befehle für DDoS-Angriffe über UDP, TCP und SMTP entgegenzunehmen. Sobald die Persistenz steht, löscht die Malware die ursprünglich heruntergeladene Binärdatei, um eine Analyse zu erschweren. Laut Fortinet zeige Nexcorium die typischen Merkmale moderner IoT-Botnetze, indem sie das Ausnutzen von Schwachstellen, Unterstützung mehrerer Architekturen und verschiedene Persistenzmethoden kombiniere.

Parallel berichtet Unit 42 von aktiven, automatisierten Scans, die CVE-2023-33538 (CVSS-Wert 8,8) auszunutzen versuchen – eine Befehlsinjektion in abgekündigten WLAN-Routern von TP-Link. Die beobachteten Angriffe seien jedoch fehlerhaft umgesetzt und führten nicht zu einer erfolgreichen Kompromittierung. Die Schwachstelle wurde nach Angaben von Unit 42 im Juni 2025 in den Katalog bekannter ausgenutzter Schwachstellen (KEV) der US-Behörde CISA aufgenommen.

Wie die Forscher Asher Davila, Malav Vyas und Chris Navarrete betonen, sei die zugrunde liegende Schwachstelle real, auch wenn die beobachteten Angriffe scheiterten; eine erfolgreiche Ausnutzung setze eine Authentifizierung an der Web-Oberfläche des Routers voraus. Die in diesem Fall eingesetzte Schadsoftware ist ebenfalls ein Mirai-ähnliches Botnetz, dessen Quellcode zahlreiche Verweise auf die Zeichenfolge „Condi" enthält. Es kann sich selbst auf eine neuere Version aktualisieren und als Webserver fungieren, um die Infektion auf andere verbundene Geräte zu verbreiten.

Da die betroffenen TP-Link-Geräte nicht mehr unterstützt werden, rät Unit 42 zum Austausch gegen neuere Modelle und davon ab, Standard-Zugangsdaten zu verwenden. Solche voreingestellten Anmeldedaten könnten eine begrenzte, an Authentifizierung gebundene Schwachstelle in einen kritischen Einfallspunkt für entschlossene Angreifer verwandeln.