Una campaña de ciberataque recién descubierta, denominada Operation WrtHug, ha comprometido a decenas de miles de routers ASUS que se encuentran al final de su vida útil (EoL) o están desactualizados. La operación ha reclutado estos dispositivos en una vasta red de botnets.
Durante los últimos seis meses, el equipo STRIKE de SecurityScorecard identificó más de 50,000 direcciones IP únicas de dispositivos comprometidos a nivel mundial. Las regiones más afectadas incluyen Taiwán, Estados Unidos y Rusia, aunque también se han registrado infecciones en el sudeste asiático y países europeos.
Detalles del Ataque y Dispositivos Afectados
La campaña WrtHug se aprovecha de múltiples vulnerabilidades de día cero (n-day) conocidas en routers ASUS EoL. El objetivo principal de los atacantes es obtener altos privilegios en los dispositivos.
- Servicio Explotado: El 99% de los servicios que presentan el indicador de compromiso (IoC) son ASUS AiCloud, un servicio propietario diseñado para permitir el acceso al almacenamiento local a través de Internet. Los atacantes explotan las vulnerabilidades en este servicio para infiltrarse.
- IoC Específico: Todos los routers infectados comparten un certificado TLS autofirmado único. Curiosamente, este certificado tiene una fecha de caducidad establecida 100 años después de abril de 2022, lo que indica un uso de larga duración.
- Mecanismo de Persistencia: Los atacantes utilizan inyecciones de comandos y omisiones de autenticación para desplegar backdoors persistentes a través de SSH. Abusan de las funciones legítimas del router para asegurar que el backdoor sobreviva a reinicios o actualizaciones de firmware.
La lista de modelos de routers ASUS dirigidos en estos ataques incluye:
- ASUS Wireless Router 4G-AC55U
- ASUS Wireless Router 4G-AC860U
- ASUS Wireless Router DSL-AC68U
- ASUS Wireless Router GT-AC5300
- ASUS Wireless Router GT-AX11000
- ASUS Wireless Router RT-AC1200HP
- ASUS Wireless Router RT-AC1300GPLUS
- ASUS Wireless Router RT-AC1300UHP
Enlaces con Otras Amenazas y Atribución
Aunque no se ha identificado formalmente al actor detrás de la operación WrtHug, la extensa focalización en Taiwán y el solapamiento con tácticas observadas en campañas de ORB (Operational Relay Box) de grupos de hacking chinos sugieren que podría ser obra de un actor afiliado a China.
La campaña WrtHug comparte similitudes con otras redes botnet y ORBs vinculadas a China. Además, se ha encontrado una conexión potencial con otro botnet de origen chino llamado AyySSHush (también conocido como ViciousTrap). Siete direcciones IP de dispositivos infectados han sido marcadas por presentar signos de compromiso asociados con ambas campañas, WrtHug y AyySSHush. Esta conexión se basa en la explotación compartida de la vulnerabilidad CVE-2023-39780.
Conclusiones y Referencias
Los expertos en ciberseguridad señalan que esta investigación subraya una tendencia creciente de actores maliciosos que atacan routers y otros dispositivos de red en operaciones de infección masiva. Estas campañas, a menudo vinculadas a actores del nexo chino, se ejecutan de manera calculada para expandir su alcance global. La explotación de dispositivos EoL, que no reciben parches de seguridad, facilita enormemente la proliferación de estas amenazas.
Referencias
Vulnerabilidades Explotadas:
- CVE-2023-41345
- CVE-2023-41346
- CVE-2023-41347
- CVE-2023-41348
- CVE-2023-39780
- CVE-2024-12912
- CVE-2025-2492