Não obstante a desgraça gerada pelo VPNFilter, os pesquisadores focados nesta ameaça descobriram um novo módulo para este malware: Um MITM de conexões HTTPS.

De forma simplificada, este módulo busca por informações que se pareçam com credenciais e tenta fazer um "downgrade forçado" de tudo que comece com https:// para http:// e redireciona todo o tráfego na porta 80 para a porta 8888 local do roteador. Após isto, o malware repassa a informação adiante e na volta da conexão se infiltra na sessão novamente https e injeta códigos Javascript na resposta do roteador para o cliente. Mais uma vez, esta é uma versão simplificada do ataque e todos os detalhes técnicos destrinchados estão na Fonte 1 no fim desta postagem.

Novos roteadores afetados

Além do novo módulo, uma série de novos modelos "compatíveis" com o malware foram descobertos podendo aumentar o número de 500.000 para 700.000 dispositivos teoricamente infectados ou vulneráveis a infecção. Lista completa abaixo:

Asus:
RT-AC66U (novo)
RT-N10 (novo)
RT-N10E (novo)
RT-N10U (novo)
RT-N56U (novo)
RT-N66U (novo)

D-Link:
DES-1210-08P (novo)
DIR-300 (novo)
DIR-300A (novo)
DSR-250N (novo)
DSR-500N (novo)
DSR-1000 (novo)
DSR-1000N (novo)

Huawei:
HG8245 (novo)

Linksys:
E1200
E2500
E3000 (novo)
E3200 (novo)
E4200 (novo)
RV082 (novo)
WRVS4400N

Mikrotik:
CCR1009 (novo)
CCR1016
CCR1036
CCR1072
CRS109 (novo)
CRS112 (novo)
CRS125 (novo)
RB411 (novo)
RB450 (novo)
RB750 (novo)
RB911 (novo)
RB921 (novo)
RB941 (novo)
RB951 (novo)
RB952 (novo)
RB960 (novo)
RB962 (novo)
RB1100 (novo)
RB1200 (novo)
RB2011 (novo)
RB3011 (novo)
RB Groove (novo)
RB Omnitik (novo)
STX5 (novo)

Netgear:
DG834 (novo)
DGN1000 (novo)
DGN2200
DGN3500 (novo)
FVS318N (novo)
MBRN3000 (novo)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (novo)
WNR4000 (novo)
WNDR3700 (novo)
WNDR4000 (novo)
WNDR4300 (novo)
WNDR4300-TN (novo)
UTM50 (novo)

QNAP:
TS251
TS439 Pro
Dispositivos QNAP NAS rodando QTS

TP-Link:
R600VPN
TL-WR741ND (novo)
TL-WR841N (novo)

Ubiquiti:
NSM2 (novo)
PBE M5 (novo)

Upvel:
Desconhecido* (novo) - Dispositivos infectados foram descobertos, mas a equipe da Talos não conseguiu determinar seus modelos.

ZTE:
ZXHN H108N (novo)

Fonte 1: VPNFilter Update - VPNFilter exploits endpoints, targets new devices

Fonte 2: ArsTechnica