Un análisis reciente de SecurityScorecard ha identificado una campaña maliciosa de gran escala, denominada WrtHug, dirigida a routers domésticos y de oficina pequeña (SOHO) de Asus. Se estima que alrededor de 50.000 dispositivos ya han sido comprometidos, en su mayoría modelos antiguos de las series AC y AX, lo que sitúa este incidente entre las campañas más relevantes contra la infraestructura de red doméstica de los últimos años.
Campaña WrtHug: ataque masivo contra routers Asus domésticos y SOHO
Los datos recopilados muestran que el ataque se dirige principalmente a routers Asus con firmware desactualizado, un patrón recurrente en amenazas contra dispositivos IoT y equipos de red de bajo coste. Los atacantes aprovechan vulnerabilidades conocidas, muchas de ellas ya documentadas públicamente y con parches disponibles, lo que subraya el impacto real de no aplicar actualizaciones de seguridad en este tipo de equipamiento.
Distribución geográfica de los routers Asus comprometidos
Según SecurityScorecard, la mayor concentración de routers infectados se encuentra en Taiwán, seguida por diversos países de Asia Sudoriental, Rusia, Europa Central y Estados Unidos. Un dato especialmente llamativo es la ausencia de casos detectados en China, a pesar de la alta presencia de routers Asus en ese mercado.
Este patrón geográfico ha llevado a algunos analistas a plantear una posible relación con grupos de habla china o con base en la región. Sin embargo, la propia investigación enfatiza que las evidencias actuales no permiten una atribución concluyente y que cualquier hipótesis sobre el origen de los operadores de WrtHug debe considerarse estrictamente preliminar.
Cómo se explota AiCloud y las vulnerabilidades de firmware en routers Asus
Vulnerabilidades críticas y firmware sin actualizar
La cadena de ataque comienza con la explotación de múltiples fallos en el firmware de los routers Asus, entre ellos vulnerabilidades de inyección de comandos (command injection) y otros problemas de seguridad previamente divulgados. El foco principal son dispositivos con firmware obsoleto, que no han recibido parches en años, una situación muy común en entornos domésticos y pequeñas oficinas.
Entre los problemas destacados figura una vulnerabilidad crítica de acceso remoto no autenticado, divulgada por Asus meses atrás. Esta brecha permitía a un atacante ejecutar comandos en el router mediante una petición HTTP especialmente construida, siempre que determinadas funciones de acceso remoto estuvieran habilitadas.
AiCloud como vector principal de intrusión en routers Asus
Los investigadores apuntan a la función Asus AiCloud como el principal vector de entrada. AiCloud convierte el router en una especie de «nube privada», ofreciendo acceso remoto a ficheros y recursos de la red local. Cuando AiCloud está activo y se combina con una configuración insegura y firmware vulnerable, se abre la puerta para que los atacantes obtengan control inicial sobre el dispositivo y desplieguen la carga maliciosa de WrtHug.
Indicadores de compromiso: certificado TLS de 100 años en Asus AiCloud
El indicador técnico más característico de esta campaña es un certificado TLS anómalo en el servicio AiCloud. En la mayoría de routers comprometidos, los atacantes sustituyen el certificado por uno autofirmado con un periodo de validez inusualmente largo, de 100 años, frente a los ~10 años habituales en implementaciones similares.
Este patrón ha permitido a los analistas identificar alrededor de 50.000 direcciones IP únicas correspondientes a routers Asus afectados. Entre estos equipos predominan modelos antiguos de las familias AC y AX, todavía muy extendidos pero a menudo sin las últimas actualizaciones de seguridad.
Al igual que en la campaña AyySSHush, se observa que los operadores de WrtHug no reflashean el dispositivo ni corrigen las vulnerabilidades que explotan. Esto deja los routers expuestos a otras amenazas y facilita que terceros puedan «tomar el relevo» sobre una infraestructura ya comprometida.
Objetivo de los atacantes: red de nodos de relevo para operaciones encubiertas
La evidencia actual indica que los routers Asus infectados no se utilizan principalmente para DDoS masivos típicos de un botnet clásico. En su lugar, parecen funcionar como una red distribuida de nodos de relevo (operational relay boxes).
En la práctica, esto permite a los operadores de WrtHug:
— Encubrir su origen haciendo pasar su tráfico por redes domésticas y de pequeñas oficinas ajenas;
— Ocultar la ubicación y la infraestructura de sus servidores de mando y control (C2) tras varias capas de dispositivos comprometidos;
— Preparar el terreno para operaciones de ciberespionaje o intrusiones dirigidas difíciles de rastrear.
Este uso de routers como infraestructura de apoyo ya ha sido observado en otras campañas avanzadas documentadas por organismos como ENISA y distintos CERT nacionales, lo que sitúa a WrtHug en una categoría de amenazas especialmente relevante para la privacidad y la seguridad a largo plazo.
Medidas de protección para usuarios de routers Asus
Asus ha publicado actualizaciones de firmware que corrigen las vulnerabilidades explotadas por WrtHug, así como otras brechas recientes. Para reducir el riesgo, se recomienda encarecidamente:
— Actualizar inmediatamente el firmware del router desde el panel de administración oficial;
— Desactivar AiCloud y el acceso remoto si no son imprescindibles, o al menos restringir su exposición a Internet;
— Cambiar todas las contraseñas por defecto por credenciales largas y únicas;
— Revisar la configuración de HTTPS/TLS y desconfiar de certificados con periodos de validez excesivamente largos (por ejemplo, 100 años);
— Considerar la sustitución de modelos sin soporte por equipos modernos que sigan recibiendo parches de seguridad.
Adicionalmente, Asus ha solucionado en este mismo periodo una nueva vulnerabilidad crítica de bypass de autenticación, identificada como CVE-2025-59367, que afecta a los modelos DSL-AC51, DSL-N16 y DSL-AC750. Aunque por el momento no hay evidencias públicas de explotación activa, la experiencia demuestra que los atacantes suelen integrar con rapidez este tipo de fallos en sus tácticas cuando los dispositivos permanecen sin actualizar.
El caso WrtHug confirma una tendencia clara: los routers domésticos y SOHO se han convertido en un objetivo prioritario al mismo nivel que los servidores corporativos. Mantener el firmware al día, desactivar servicios de acceso remoto que no se utilicen y aplicar buenas prácticas de gestión de contraseñas es el mínimo indispensable para evitar que el router de casa se convierta en pieza de una infraestructura de ciberataque. Revisar hoy la configuración del propio router y planificar su renovación cuando quede fuera de soporte es una de las decisiones más efectivas para reforzar la ciberseguridad de cualquier hogar u oficina pequeña.
