Meine Vermutung ist im Moment ein infizierter Raspi, der normalerweise nur für Audio zuständig ist.
Solange Du kein Primärziel für einen direkten Angriff bist, halte ich das für extrem unwahrscheinlich. Anders sieht das nur aus, wenn dort (eine ganze Menge) uralte Software mit direktem Internetzugang läuft.
Da hab ich seltsame Verbindungen gefunden in den Logs meiner pfsense, ob ich wirklich rauskriege wie das passiert ist daran zweifel ich.
Ein einigermassen aktuelles FreeBSD muss man schon mutwillig kaputt konfigurieren, um einem unspezifischen Angriff eine Möglichkeit zu bieten. Ich kenne kein einigermassen aktuelles OS System, bei dem nicht der Administrator einen expliziten Zugang für Hacker einrichten muss, um Opfer eines unspezifischen Angriffs zu werden. Selbst das Debian OpenSSH Desaster hat nicht zu einer erfolgreichen Angriffswelle geführt. Wer auch nur einen Schritt weitergegangen ist und PubkeyAuthentication genutzt hat, war gar nicht betroffen. Aktuell muss man auf die libssh ein Auge haben, die allerdings kaum in angreifbarer Form als Server genutzt wird. Wenn Du schon öfters erfolgreich angegriffen wurdest, schliesse ich das aus.
Bin gerade dabei das Setup komplett neu zu planen (Andere Aufteilung der Geräte in den Vlans, dedizierter Switch für einen "Personal" Router, die 3 Raspis konsolidieren in eine Maschine mit VMs und da dann die schotten dicht. Eigentlich nur ne Ausrede für einen neuen Server...)
Und nein, das ist nicht das erste mal vorgekommen...
Das hört sich jetzt nicht nach dem Standardnutzer, der auf alles klickt was nicht bei drei auf den Bäumen ist, an. Es hört sich eher danach an, dass Du direktes Primärziel bist. Ich würde jedenfalls alles daran setzen den Angreifer zu erwischen und einen Insider bzw. physischen Zugang nicht ausschliessen.
Denke mal über Honeypots und mehrstufige Traps (physisch wie auch auf den Systemen) nach!