Los laboratorios de identificación de amenazas de la empresa CenturyLink descubrieron un módulo no documentado de TheMoon que se implementa únicamente en los dispositivos MIPS, una arquitectura común de microprocesador que por lo general se encuentra en los gateways y módems residenciales. 

TheMoon es un botnet modular que apunta a las vulnerabilidades de los ruteadores dentro de las redes de banda ancha.

El nuevo módulo de TheMoon convierte un dispositivo infectado en un proxy SOCKS, un servicio que puede usarse maliciosamente para circunnavegar los filtros de internet u oscurecer la fuente del tráfico de internet, permitiendo que el autor del botnet venda su red proxy como un servicio a terceros.

Los laboratorios de investigación de amenazas de CenturyLink observaron a un operador de video de anuncios fraudulentos utilizar TheMoon en beneficio propio, impactando a 19.000 URLs exclusivas sobre 2,700 dominios únicos durante un lapso de seis horas.

De acuerdo con información proporcionada por la empresa, se bloqueó la infraestructura de TheMoon en su red para mitigar el riesgo para los clientes, además de notificar a otros propietarios de redes de dispositivos potencialmente infectados para que ayuden a proteger el internet.

Dado que muchas explotaciones recientes han usado vulnerabilidades conocidas que sólo funcionaron en máquinas o dispositivos que no fueron identificados oportunamente, CenturyLink incentiva a los consumidores a actualizar el firmware de los ruteadores residenciales regularmente y verificar con sus proveedores de servicio de internet para decidir en qué momento hay que remplazar sus ruteadores.