Предположу логически: если речь идет о какой-либо дыре, распространенной в определенных прошивках определенной модели роутеров, то злоумышленник, получая доступ к роутеру, эту дыру вынужден так или иначе после себя прикрывать, чтобы его путем не пошли остальные кулхацкеры и не лишили его кучи дедиков.
Тут для выявления того, что изменилось, можно посмотреть тем же нмап-ом картину: какие на роутере исчезли открытые наружу порты, состояние до и после захвата (если речь, конечно, о нём). Каков ответ по различным службам (хотя вряд ли кто будет править бажную службу в прошивке роутера, так?). Таким образом можно косвенно вычислить бажную службу и, если она не критичная, рекомендовать клиентам её отключать на определенных моделях.
Можно еще попробовать снять дамп прошивки и посмотреть, что же там такое изменилось.
Можно погуглить по кулхацкерным бордам.
Вообще странно, чтобы злоумышленник так явно провоцировал на сброс настроек — отключением dhcp? Может и впрямь речь об аппаратной/программной проблеме конкретных железок?
