Una campaña recientemente descubierta ha puesto en peligro decenas de miles de enrutadores ASUS obsoletos o al final de su vida útil (EoL) en todo el mundo, principalmente en Taiwán, EE. UU. y Rusia, para conectarlos a una red masiva.
La actividad de secuestro del router tiene un nombre en código Operación WRThug del equipo STRIKE de SecurityScorecard. Los países del sudeste asiático y Europa son algunas de las otras regiones en las que se han registrado infecciones.
Es probable que los ataques impliquen la explotación de seis fallas de seguridad conocidas en los enrutadores ASUS WRT al final de su vida útil para tomar el control de los dispositivos vulnerables. Se ha descubierto que todos los routers infectados comparten un certificado TLS único y autofirmado con una fecha de caducidad de 100 años a partir de abril de 2022.
SecurityScorecard dijo que el 99% de los servicios que presentan el certificado son ASUS AiCloud, un servicio propietario diseñado para permitir el acceso al almacenamiento local a través de Internet.
«Aprovecha el servicio propietario AiCloud con vulnerabilidades de un día para obtener altos privilegios en los enrutadores ASUS WRT al final de su vida útil», afirma la empresa en un informe publicado en The Hacker News, y añade que la campaña, si bien no es exactamente una caja de retransmisión operativa (ORB), tiene similitudes con otras redes de ORB y botnets vinculadas a China.
Es probable que los ataques exploten las vulnerabilidades rastreadas como CVE-2023-41345 , CVE-2023-41346 , CVE-2023-41347 , CVE-2023-41348 , CVE-2024-12912 , y CVE-2025-2492 para la proliferación. Curiosamente, la explotación del CVE-2023-39780 también se ha relacionado con otra red de bots de origen chino denominada Ayys Shush (también conocido como ViciousTrap). Otros dos ORB que han tenido como objetivo enrutadores en los últimos meses son Perros falderos y Borde polar .
De todos los dispositivos infectados, se han marcado siete direcciones IP por mostrar signos de compromiso asociados con WRThug y AyyssHush, lo que podría aumentar la posibilidad de que los dos clústeres estén relacionados. Dicho esto, no hay evidencia que respalde esta hipótesis más allá de la vulnerabilidad compartida.
La lista de modelos de enrutadores objetivo de los ataques se encuentra a continuación:
- Enrutador inalámbrico ASUS 4G-AC55U
- Enrutador inalámbrico ASUS 4G-AC860U
- Enrutador inalámbrico ASUS DSL-AC68U
- Enrutador inalámbrico ASUS GT-AC5300
- Enrutador inalámbrico ASUS GT-AX11000
- Enrutador inalámbrico ASUS RT-AC1200HP
- Enrutador inalámbrico ASUS RT-AC1300GPLUS
- Enrutador inalámbrico ASUS RT-AC1300UHP
Actualmente no está claro quién está detrás de la operación, pero los numerosos ataques contra Taiwán y las coincidencias con las tácticas anteriores observadas en las campañas de ORB por parte de grupos de hackers chinos sugieren que podría ser obra de un actor desconocido afiliado a China.
«Esta investigación pone de relieve la creciente tendencia de actores malintencionados que atacan enrutadores y otros dispositivos de red en operaciones de infección masiva», afirma SecurityScorecard. «Por lo general (pero no de manera exclusiva), están vinculadas a los actores de China Nexus, que llevan a cabo sus campañas de manera cuidadosa y calculada para ampliar y profundizar su alcance global».
«Al encadenar las inyecciones de comandos y las elusiones de autenticación, los actores de amenazas han logrado implementar puertas traseras persistentes a través de SSH, lo que a menudo abusa de las funciones legítimas de los enrutadores para garantizar que su presencia sobreviva a los reinicios o las actualizaciones del firmware».