Pokud zatím platí:
a) napadené routery (resp. tedy vlastně switche) neměly IP konektivitu a měly i změněné porty api/ssh/winbox
b) některé měly hesla tzv. brutální a nikde neevidované
c) nákaza neprošla čistými linux routery.
tak:
1. možná byla objevena chyba v mac-serveru (nebo v RoMON, to nevím).
2. šlo o útok zhrzeného člena, co znal podmínku b)
3. kombinace obého ...
Přijde mi divné, že by "to" přišlo odněkud z internetu či zevnitř po IP (čili malware umí nakazit něco přes routovanou síť) a na prvním zařízení to změnilo chování a dokázalo nakazit jen věci bez IP adresy.
Divné také je, že pokud už někdo vymyslí malware, který zařízení vyřadí z provozu (a zamete po sobě stopy), proč to dělá tak složitě a disabluje rozhraní, místo toho aby prostě vymazal konfiguraci do defaultu.
Já si tipnu důvod 2.
Ale je to jen spekulace založená na několika střípcích informací.
V každém případě se hodí mít logy i jinde, než na zařízení samotném.