O hacker é de origem russa, e autoproclama-se um ciber-vigilante, sendo um administrador de sistemas.

O mesmo descreveu a sua atividade numa plataforma de blogging russa, e aí explicou ter entrado nos routers para mudar as definições e prevenir possíveis ataques futuros.

Segundo o próprio, adicionou regras de firewall que bloqueavam o acesso ao router de fora. Fez isto para 100.000 utilizadores. Segundo o administrador, existem mais de 420.000 routers expostos e que podem ser abusados ou comprometidos para campanhas de cryptomining.

O exploit mais recente é de 7 de outubro e foi apresentado na DerbyCon na palestra "Bug Hunting in RouterOS", sendo que o mesmo explora a falha conhecida por directory traversal - CVE-2018-14847.

Podes ver mais pormenores aqui: https://www.zdnet.com/article/a-mysterious-grey-hat-is-patching-peoples-outdated-mikrotik-routers/