Cara, isso é mais comum do que parece — e é exatamente o cenário que o GhostDNS explora. Roteador em bridge, firmware de 2019, senha admin padrão. Prato feito.

Se o fabricante descontinuou, pelo menos faz duas coisas: troca a senha do admin (aquela admin/admin que ninguém muda) e desativa o gerenciamento remoto. Dois minutos e já fecha a porta mais usada por ataque de DNS no Brasil.

  Escrevi sobre isso com mais detalhe aqui se quiser dar uma olhada: