Esta investigación demuestra que, si bien los ataques botnet activos utilizan código de exploit defectuoso, la vulnerabilidad sigue siendo un vector de infección práctico debido al uso extendido de credenciales predeterminadas de IoT.
El análisis de la investigación reveló dos hechos importantes: aunque los ataques observados en la naturaleza fueron defectuosos y habrían fallado, la vulnerabilidad subyacente es real. Además, se confirmó que la explotación exitosa requiere la autenticación en la interfaz web del router.
Para determinar el impacto de estos ataques, se realizó una investigación exhaustiva emulando el router TP-Link TL-WR940N. Mediante emulación de firmware y reverse engineering, se analizaron los exploits para ver si el payload podría ejecutarse con éxito en ese modelo de dispositivo.
Los payloads observados son binarios maliciosos característicos de botnet de tipo Mirai, diseñados para ser descargados y ejecutados en dispositivos vulnerables. Esta actividad se observó tras la inclusión de este CVE en el Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA en junio de 2025.
Se identificaron escaneos y sondajes activos que intentan explotar la vulnerabilidad CVE-2023-33538, la cual afecta a varios modelos de routers Wi-Fi de TP-Link que ya están fuera de ciclo de vida, incluyendo el TL-WR940N v2 y v4.