Заметил в домашней сети на Suricata внезапные алерты ранним утром: пошел исходящий SSH-трафик (outbound) и непонятные POST-запросы на различные IP-адреса по всему миру. Большая часть из них, конечно, вела на CDN Akamai, но было странно наблюдать, что запросы идут далеко не только туда.
В домашней сети много лет лежал старый планшет Xiaomi Pad 5 на MIUI 14.0.8. Он уже перестал получать обновления, но установленный на нем WhatsApp никогда раньше не триггерил подобные алерты — годами все было спокойно. Однако 29.05.2026 в 10:02 по времени Кыргызстана устройство внезапно начало генерировать огромное количество такого трафика.
Я сразу приступил к анализу, локализовал источник и подумал, что планшет каким-то образом скомпрометирован. Целый день дебажил трафик через adb, параллельно удаляя подозрительные приложения. Пытался найти, что именно внедрилось рядом с WhatsApp и выступило в роли дроппера. Но следов дроппера так и не обнаружил.
В итоге решил сделать полный сброс устройства. Планшет был китайской версии, но с разблокированным загрузчиком. Сбросил до заводских, «чистым» поставил WhatsApp из Google Play — и... трафик возобновился. Появились мысли, что заражена сама прошивка или устройство пробито на каком-то более глубоком уровне.
В процессе дальнейших манипуляций я случайно окирпичил планшет. Накатывал китайскую HyperOS 1 и забыл снять галочку «заблокировать загрузчик» (clean and lock). Восстановить его теперь практически нереально, так как для авторизации в Mi Flash нужен привязанный китайский номер телефона. На том же 4PDA пишут, что в текущих реалиях это почти «труп».
Ладно, решил, что планшет отжил свое, и поехал за новым. Взял Xiaomi Pad 8, настроил «с нуля» на свежей HyperOS без переноса данных, но вошел под старым Google-аккаунтом. И что я вижу в логах Suricata? Подобный трафик продолжается!
При этом в одной сети с ними находятся Xiaomi 17 Ultra и старый Redmi — они ни в чем подобном замечены не были, их WhatsApp ведет себя абсолютно тихо.
Короче говоря, докопаться до истинной причины пока не удалось. Вариантов несколько: либо это точечный таргетированный пробой, либо WhatsApp на китайских версиях прошивок (или конкретных планшетах) как-то странно взаимодействует с сетью, либо мы наблюдаем формирование масштабного ботнета (в порядке теории заговора).
Для себя пока сделал радикальный вывод: отказ от WhatsApp и, возможно, в потенциале от китайских вендоров, так как абсолютно непонятно, кто генерирует эту полезную нагрузку и зачем. В интернете вменяемых объяснений или аналогичных кейсов я так и не нашел.