Die Sicherheitsforscher von SecurityScorecard haben eine umfangreiche Malware-Kampagne namens WrtHug aufgedeckt, die gezielt Asus-Heim- und SOHO-Router angreift. Nach aktuellen Scans sind bereits rund 50.000 Geräte kompromittiert, überwiegend ältere Modelle der Serien AC und AX. Damit zählt WrtHug zu den bisher sichtbarsten zielgerichteten Angriffen auf Heimrouter-Infrastrukturen.
Ausmass und Geografie der WrtHug-Infektionen auf Asus-Routern
Die höchste Dichte infizierter Asus-Router wurde in Taiwan beobachtet. Weitere Schwerpunkte liegen in Südostasien, Russland, Zentraleuropa und den USA. Auffällig ist, dass keine Infektionen in China identifiziert wurden, obwohl Asus-Router dort weit verbreitet sind.
Dieses Muster wird von den Forschern als möglicher, jedoch nicht belegter Hinweis auf einen Bezug zu chinesischen Akteuren diskutiert. SecurityScorecard betont ausdrücklich, dass die vorliegenden Artefakte für eine belastbare Attribution nicht ausreichen. Die Frage nach den Hintermännern bleibt damit offen und bewegt sich im Bereich fundierter, aber spekulativer Hypothesen – ein typisches Bild bei modernen Router- und IoT-Kampagnen.
Der Fall reiht sich in einen längerfristigen Trend ein: Studien zu IoT-Sicherheit zeigen seit Jahren, dass Heim- und SOHO-Router zu den am häufigsten angegriffenen Internetgeräten zählen. Sie sind permanent online, oft schlecht gewartet und werden von Angreifern als idealer Einstiegspunkt in Heim- und Kleinstunternehmensnetze genutzt.
Technische Analyse: WrtHug nutzt Schwachstellen und missbrauchte AiCloud-Funktion
Angriffskette über verwundbare Asus-Firmware
Die WrtHug-Kampagne beginnt mit der Ausnutzung mehrerer Schwachstellen in der Firmware von Asus-Routern, darunter Fehler, die Command Injection (Einschleusen und Ausführen von Systembefehlen) ermöglichen. Im Fokus stehen vor allem veraltete und seit Jahren nicht aktualisierte Firmware-Versionen – ein typisches Muster bei Angriffen auf IoT- und SOHO-Hardware.
Besondere Bedeutung hat dabei eine kritische Schwachstelle im Remote-Access-Komponenten, vor der Asus bereits im April dieses Jahres gewarnt hatte. Sie ermöglichte das Ausführen von Befehlen ohne Authentifizierung via speziell präpariertem HTTP-Request, sofern die betroffene Funktion aktiviert war. Diese Art von Remote-Code-Execution gilt in der Praxis als Einfallstor mit hohem Risiko.
AiCloud als zentraler Einstiegspunkt
Als primären Angriffsvektor identifizieren die Forscher den Dienst Asus AiCloud. AiCloud verwandelt den Router in eine Art privaten „Cloud-Server“, über den Nutzer aus der Ferne auf Dateien und Ressourcen im Heimnetz zugreifen können. Ist AiCloud mit verwundbarer Konfiguration im Internet erreichbar, kann WrtHug:
– den ersten Zugriff auf den Router ohne gültige Zugangsdaten erzwingen;
– persistente Malware-Komponenten platzieren;
– den Router als Knotenpunkt in eine verdeckte Infrastruktur einbinden.
Geräte mit veralteter Firmware, aktiviertem AiCloud und freigelegtem WAN-Management sind dadurch besonders exponiert. Dieses Profil findet sich gerade in Kleinbüros und bei technisch weniger versierten Heimanwendern häufig.
Indikator einer Kompromittierung: AiCloud-TLS-Zertifikat mit 100 Jahren Laufzeit
Ein zentrales Erkennungsmerkmal der WrtHug-Infektion ist ein ungewöhnliches TLS-Zertifikat für den AiCloud-Dienst. Die Angreifer ersetzen das Standardzertifikat durch ein selbstsigniertes Zertifikat mit extrem langer Gültigkeitsdauer von rund 100 Jahren (üblich sind etwa 10 Jahre oder weniger).
Anhand dieser auffälligen Konfiguration konnte SecurityScorecard etwa 50.000 eindeutige IP-Adressen infizierter Asus-Router identifizieren. Der Eingriff zeigt zugleich, wie wichtig es ist, Browser-Warnungen und Zertifikatsdetails ernst zu nehmen – ungewöhnlich lange Laufzeiten oder unbekannte Aussteller können ein Hinweis auf Kompromittierungen sein.
Wie schon in der früher dokumentierten Kampagne AyySSHush ändern die Betreiber von WrtHug weder die Firmware grundlegend noch schließen sie die ausgenutzten Schwachstellen. Die Router bleiben damit für weitere Gruppen angreifbar und können von anderen Angreifern „übernommen“ oder parallel missbraucht werden.
Taktik der Angreifer: Router als verdeckte Relaisknoten statt klassisches Botnetz
Nach aktueller Analyse werden die betroffenen Asus-Router nicht primär als DDoS-Botnetz eingesetzt. Stattdessen fungieren sie als „operational relay boxes“, also als Relaisknoten in mehrstufigen Angriffsketten. Dieses Modell bietet Angreifern mehrere Vorteile:
– Proxy-Funktion: Der Angreifer-Traffic wird über fremde Heim- und Büronetze geleitet.
– Verschleierung: Die wahre geografische Herkunft der Operatoren bleibt verborgen.
– Verschleierte C2-Infrastruktur: Command-&-Control-Server werden hinter Ketten kompromittierter Router verborgen.
Solche Infrastrukturen werden typischerweise in längerfristigen Spionage- oder Sabotageoperationen genutzt, um forensische Analysen zu erschweren. Konkrete, öffentlich bekannte Einsätze der WrtHug-Infrastruktur sind bislang nicht dokumentiert, das technische Setup passt jedoch zu etablierten Mustern in APT-Kampagnen.
Schutzmassnahmen: So sichern Sie Asus-Heim- und SOHO-Router
Asus hat nach eigenen Angaben Security-Updates für alle in der WrtHug-Kampagne ausgenutzten Schwachstellen bereitgestellt. Für Betreiber von Heim- und SOHO-Routern ergeben sich unmittelbar folgende Empfehlungen:
– Firmware sofort aktualisieren: Über das Webinterface des Routers nach Updates suchen und ausschließlich offizielle Firmware von Asus installieren.
– Remote-Zugriff und AiCloud absichern oder deaktivieren: Dienste nur aktiv lassen, wenn sie zwingend benötigt werden; Zugriff möglichst auf VPN oder vertrauenswürdige IP-Adressen beschränken.
– Standardpasswörter ersetzen: Alle Admin-Zugänge mit langen, einzigartigen und komplexen Passwörtern versehen und Passwörter regelmäßig erneuern.
– TLS-Zertifikate prüfen: Bei Zugriff auf den Router auf Zertifikatswarnungen achten und misstrauisch werden, wenn ein selbstsigniertes Zertifikat eine übertrieben lange Laufzeit aufweist.
Ist ein Routermodell End of Life und erhält keine Sicherheitsupdates mehr, sollte das Gerät nach Möglichkeit durch ein aktuelles Modell ersetzt werden. Wo ein Austausch kurzfristig nicht möglich ist, empfiehlt sich mindestens, die Angriffsfläche zu reduzieren, indem Remote-Administration, UPnP und andere von außen erreichbare Dienste deaktiviert werden.
Zusätzlich hat Asus jüngst eine neue kritische Schwachstelle, CVE-2025-59367, geschlossen. Sie betrifft die Modelle DSL-AC51, DSL-N16 und DSL-AC750 und ermöglicht einen Bypass der Authentifizierung. Zwar liegen derzeit keine Hinweise auf breite Ausnutzung vor, doch die Erfahrung zeigt, dass frisch veröffentlichte Router-Exploits schnell in Angriffskampagnen integriert werden. Betroffene sollten die entsprechenden Patches kurzfristig einspielen.
Der WrtHug-Vorfall macht deutlich, dass Heim- und SOHO-Router längst kritische Infrastruktur sind – nicht nur für Privathaushalte, sondern auch für kleine Unternehmen und Remote-Mitarbeiter. Wer Firmware regelmäßig aktualisiert, unnötige Fernzugriffe deaktiviert, starke Passwörter nutzt und grundlegende Sicherheitswarnungen ernst nimmt, reduziert das Risiko erheblich, dass der eigene Router unbemerkt Teil fremder Cyberoperationen wird. Angesichts der wachsenden Bedeutung von Homeoffice und Cloud-Diensten lohnt es sich, gerade diesem oft unterschätzten Gerät im Netzwerk besondere Aufmerksamkeit zu schenken.
