Logs sur un routeur : TELNET login failed (password error)

Bonjour,
J'espère ne pas tromper de forum. Si c'est le cas, je m'en excuse.

J'ai en charge un petit réseau d'entreprise et je suis assez inquiet concernant des logs sur un routeur.

Ce réseau est composé de 2 sous-réseaux distants situés dans 2 bâtiments différents. Chaque sous-réseau est en IP fixe, équipé d'un modem et d'un routeur/passerelle qui gèrent un VPN entre les 2 bâtiments à travers internet.
Je ne décris pas plus pour l'instant car je ne pense pas que ce soit utile.
Sur chaque routeur j'ai mis en place un envoi de rapport de logs quotidien et un envoi de rapport en cas d'évènements exceptionnels.
Pour être tout à fait franc, dès que je reçois un rapport exceptionnel je le lis mais, par manque de temps, ça faisait un moment que je n'avais pas regardé les rapports quotidiens.

Or, je viens de m'apercevoir que depuis quelques temps j'ai des messages très bizarres sur les rapports quotidiens d'un de mes deux routeurs.
Ce message est "TELNET login failed (password error)".
La destination est l'IP fixe externe du sous-réseau.
La source change à chaque fois.

Par exemple, pour la dernière en date, j'ai 30 logs d'affilé à quelques secondes d'intervalle (entre 2s et 6s en gros) avec la même adresse IP et 3 fois d'affilé le même port pour la source puis ça change de port. Pour cet exemple les ports de la source étaient dans l'ordre 48755, 48189, 48829, 48869, ... jusqu'à 49063 mais c'est différent à chaque fois.
Par contre, le port utilisé sur l'adresse IP de destination (mon adresse IP fixe externe donc) est toujours le même : le port 23.
La fréquence de ces tentatives est assez aléatoire.
Par exemple, je vais avoir 30 logs d'affilés (toutes les 2 à 6 sec) puis ça peut s'arrêter pendant 10 minutes avant de recommencer avec une 50aine de logs, s'arrêter 30 minutes, ...
A chaque fois que ça s'arrête plus de quelques secondes, lorsque ça recommence l'adresse IP source a changé.

Depuis ce matin, à chaque fois que j'avais une nouvelle série de logs j'ai fait un TRACERT sur l'adresse IP source. Les adresses IP sont à chaque fois localisées dans un pays différent (Afrique du Sud, Inde, Etat-Unis, Brésil) et utilisent une route différente.

Du coup, j'ai changé le mot de passe du routeur et j'en ai mis un très complexe.

N'étant pas spécialiste j'aurai aimé avoir vos avis. S'agit-il d'une attaque ? Quelqu'un essai-t-il de craquer le mot de passe du routeur ou peut-il y avoir une autre raison à cela ?

N'hésitez pas à me dire si vous voulez plus de détails.

Dans tous les cas merci d'avance d'avoir pris le temps de me lire et pour vos éventuels avis.
Bonne journée.