С 29 марта по 10 апреля в ботнет Fodcha входило более 62 000 устройств. Количество уникальных IP-адресов, связанных с малварью колеблется: ежедневно эксперты отслеживают около 10 000 ботов Fodcha, использующих китайские IP-адреса, причем большинство из них пользуются услугами China Unicom (59,9%) и China Telecom (39,4%).
Известно, что Fodcha заражает новые устройства с помощью эксплоитов, предназначенных для использования уязвимостей в ряде устройств, а также брутфорс-инструмента Crazyfia. Список устройств и сервисов, которые атакует Fodcha, включает:
- Android: Android ADB Debug Server RCE;
- GitLab: CVE-2021-22205;
- Realtek Jungle SDK: CVE-2021-35394;
- MVPower DVR: неаутентифицированное выполнение шелл-команд в JAWS Webserver;
- LILIN DVR: LILIN DVR RCE;
- TOTOLINK Routers: бэкдор в роутерах TOTOLINK;
- ZHONE Router: веб-RCE в роутерах ZHONE.
Известно, что с января 2022 года ботнет использовал folded[.]in в качестве домена для управляющего сервера, а в марте переключился на fridgexperts[.]cc, когда поставщик облачных услуг отключил первый домен.