Ngày 2911, Flashpoint cho biết, ước tính có khoảng 5 triệu thiết bị bị lây nhiễm và chỉ một phần trong số này bị nhiễm cũng có thể tạo ra một botnet gây thiệt hại đáng kể.
Sự việc bắt đầu vào ngày 28-11, hãng viễn thông lớn của Đức Deutsche Telekom thông báo về việc gần 1 triệu khách hàng của mình gặp sự cố gián đoạn truy cập internet do chủng loại mã độc mới của Mirai lây qua các router của họ. Mặc dù sau đó hãng này đã cung cấp bản cập nhật để ngăn chặn phần mềm độc hại, nhưng các chuyên gia an ninh cho rằng, tin tặc sẽ lợi dụng mã nguồn mới này để tiếp tục gây hại cho các thiết bị khác.
Phiên bản ban đầu của Mirai là lây nhiễm cho các thiết bị IoT (Internet of Things) như: máy quay kỹ thuật số, camera giám sát... rồi khống chế chúng tạo thành các botnet để thực hiện tấn công DDoS. Cụ thể là cuộc tấn công làm gián đoạn truy cập internet từ nhà cung cấp DNS của Mỹ vào ngày 22-10. Cuộc tấn công ảnh hướng tới Deutsche Telekom thông qua lỗ hổng SOAP của các router có nguồn gốc từ Zyxel.
Flashpoint còn phát hiện được chủng Mirai mới này đã tạo ra botnet để khởi động một cuộc tấn công có quy mô nhỏ nhằm vào một địa chỉ IP ở Châu Phi và một nhà cung cấp dịch vụ dữ liệu đám mây. Các cuộc tấn công này có thời lượng tấn công từ một vài phút đến hàng giờ.
Tốc độ lây nhiễm của chủng loại Mirai này đang chậm lại. Theo nghiên cứu viên tại Tripwire là Craig Young, ban đầu tốc độ lây nhiễm là 90s nhưng đến sáng 29-11 đã giảm xuống còn 6 phút. Theo Young, cuộc tấn công vào Deutsche Telekom không phải với mục đích gây ảnh hướng kết nối internet mà là bí mật lây nhiễm qua các router để tạo ra botnet. Việc lây nhiễm Mirai qua bộ định tuyến này quá gây chú ý khiến các nhà cung cấp mạng ngay lập tức tung ra bản cập nhật để vá lại lỗ hổng. Nhưng điều đáng lưu tâm, sau cuộc tấn công thì mã Mirai sẽ lại một lần nữa được phát triển, vì vậy các nhà cung cấp cần hết sức lưu ý, đề phòng và có biện pháp khắc phục nhanh chóng.