Segundo a empresa de segurança VulnCheck, a exploração desta vulnerabilidade (identificada como CVE-2026-0625) começou em novembro de 2025. O principal objetivo dos piratas informáticos é aplicar uma técnica conhecida como DNSChanger. Através dela, conseguem redirecionar silenciosamente todo o tráfego de internet dos utilizadores para sites fraudulentos, facilitando o roubo de dados bancários e credenciais sem que a vítima se aperceba de qualquer anomalia na ligação.

Esta campanha faz parte de uma família de ataques mais ampla, como o histórico GhostDNS, que em anos anteriores infetou mais de 100.000 routers em todo o mundo. Entre os modelos afetados nesta nova vaga estão dispositivos DSL clássicos, como o DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B. Muitos destes aparelhos são comuns em redes domésticas e pequenas empresas que mantêm hardware antigo por uma questão de custo.

A resposta da D-Link foi taxativa: não haverá atualizações de segurança. A marca esclareceu que os dispositivos visados atingiram o fim de vida (End-of-Life) há mais de cinco anos, o que significa que já não recebem suporte técnico ou patches de firmware. A recomendação oficial é a substituição imediata destes routers por modelos modernos que recebam atualizações regulares, uma vez que estes equipamentos antigos são agora considerados "alvos fáceis".

Este incidente surge num contexto de aumento de ataques a equipamentos de rede de marcas como TP-Link, Linksys e ASUS. Com o surgimento de variantes de malware como o TheMoon, os piratas informáticos estão a realizar varrimentos globais em busca de hardware "abandonado" pelos fabricantes. Para os utilizadores do Wintech, o conselho é claro: verifique o modelo do seu router e, se ele já não receber atualizações, considere a sua reforma para evitar que a sua navegação seja controlada por terceiros.