Una campaña recientemente descubierta ha comprometido decenas de miles de enrutadores ASUS obsoletos o al final de su vida útil (EoL) en todo el mundo, predominantemente en Taiwán, EE. UU. y Rusia, para conectarlos a una red masiva.
La actividad de secuestro del enrutador ha recibido un nombre en clave Operación WrtHug por el equipo STRIKE de SecurityScorecard. El sudeste asiático y los países europeos son algunas de las otras regiones donde se han registrado infecciones. Durante los últimos seis meses, se han identificado más de 50.000 direcciones IP únicas pertenecientes a estos dispositivos comprometidos en todo el mundo.
Es probable que los ataques impliquen la explotación de seis fallos de seguridad conocidos en los enrutadores ASUS WRT al final de su vida útil para tomar el control de dispositivos susceptibles. Se ha descubierto que todos los enrutadores infectados comparten un certificado TLS autofirmado único con una fecha de vencimiento establecida en 100 años a partir de abril de 2022.
SecurityScorecard dijo que el 99% de los servicios que presentan el certificado son ASUS AiCloud, un servicio propietario diseñado para permitir el acceso al almacenamiento local a través de Internet.
«Aprovecha el servicio patentado AiCloud con vulnerabilidades de n días para obtener altos privilegios en los enrutadores ASUS WRT al final de su vida útil», dijo la compañía en un informe compartido con The Hacker News, agregando que la campaña, aunque no es exactamente una Caja de Retransmisión Operacional (ORB), tiene similitudes con otros ORB y redes de botnet vinculados a China.
Es probable que los ataques aprovechen las vulnerabilidades rastreadas como CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 y CVE-2025-2492 para su proliferación. Curiosamente, la explotación de CVE-2023-39780 también se ha relacionado con otra botnet de origen chino denominada AyySSHush (también conocida como ViciousTrap). Otros dos ORB que se han dirigido a los enrutadores en los últimos meses son LapDogs y PolarEdge.
De todos los dispositivos infectados, siete direcciones IP han sido marcadas por mostrar signos de compromiso asociados tanto con WrtHug como con AyySSHush, lo que potencialmente plantea la posibilidad de que los dos grupos estén relacionados. Dicho esto, no hay evidencia que respalde esta hipótesis más allá de la vulnerabilidad compartida.
La lista de modelos de enrutadores objetivo de los ataques se encuentra a continuación:
- Enrutador inalámbrico ASUS 4G-AC55U
- Enrutador inalámbrico ASUS 4G-AC860U
- Enrutador inalámbrico ASUS DSL-AC68U
- Enrutador inalámbrico ASUS GT-AC5300
- Enrutador inalámbrico ASUS GT-AX11000
- Enrutador inalámbrico ASUS RT-AC1200HP
- Enrutador inalámbrico ASUS RT-AC1300GPLUS
- Enrutador inalámbrico ASUS RT-AC1300UHP
Actualmente no está claro quién está detrás de la operación, pero los extensos ataques a Taiwán y las superposiciones con tácticas anteriores observadas en campañas ORB de grupos de hackers chinos sugieren que podría ser obra de un actor desconocido afiliado a China.
«Esta investigación destaca la creciente tendencia de actores de amenazas maliciosas que apuntan a enrutadores y otros dispositivos de red en operaciones de infección masiva», dijo SecurityScorecard. «Estos están comúnmente (pero no exclusivamente) vinculados a los actores del Nexo con China, que ejecutan sus campañas de manera cuidadosa y calculada para expandir y profundizar su alcance global».
«Al encadenar inyecciones de comandos y omitir la autenticación, los actores de amenazas han logrado implementar puertas traseras persistentes a través de SSH, a menudo abusando de funciones legítimas del enrutador para garantizar que su presencia sobreviva a los reinicios o las actualizaciones de firmware».