一个一直利用软件漏洞劫持数万台思科设备的黑客组织似乎已经改变了策略以避免被发现。由于路由器、交换机和无线控制器中使用的 IOS XE 软件存在缺陷，黑客最后被发现入侵了多达 40,000 台思科设备。然后，随着思科推出补丁来应对威胁， 上周末被劫持设备的数量开始神秘下降。感染数量的下降最初表明思科客户正在迅速采取行动来遏制该漏洞。但现在有证据表明，该黑客组织只是更新了其技术，以更好地隐藏哪些思科设备被劫持。

　　被劫持设备的数量似乎大幅下降。为了危害受影响的设备，黑客一直在安装植入程序，该植入程序可以在受感染的硬件上接收并执行进一步的命令。思科最初发现，被劫持的设备在收到特定 HTTP POST 时会以 18 个字符的十六进制进行响应，从而为公司提供了一种简单的方法来扫描潜在的危害。但现在网络安全供应商 Fox IT报道称：“威胁行为者已升级植入程序以进行额外的标头检查。因此，对于很多设备来说，植入程序仍然处于活动状态，但现在只有在设置了正确的授权 HTTP 标头时才会响应。” 这一变化消除了公司识别被劫持设备的原始方式。 Fox IT 补充道：“这解释了最近几天备受争议的已识别受感染系统数量的大幅下降。” 好消息是Fox IT和思科都找到了其他方法来检测黑客的植入。Fox IT警告称：“Fox-IT 使用不同的指纹识别方法，识别出了 37890 台仍然受到威胁的思科设备。 ”

        思科还表示，受影响的客户可以下载该公司的补丁来消除威胁。但目前该补丁仅适用于 IOS XE 17.9 版本的用户。iOS XE 17.6、17.3 和 16.12 的补丁仍在发布中。同时，客户可以禁用设备上的 HTTP 服务器功能，以防止潜在的劫持。思科补充说：“植入程序不是持久性的，这意味着设备重新启动会将其删除，但新创建的(黑客控制的)本地用户帐户即使在系统重新启动后仍然保持活动状态。”