Una nueva amenaza cibernética ha emergido en el panorama de la seguridad digital. Investigadores de GreyNoise han descubierto una campaña masiva del botnet AyySSHush que ha comprometido más de 9000 routers Asus, además de dispositivos de otros fabricantes como Cisco, D-Link y Linksys. Esta sofisticada campaña, identificada en marzo de 2025, representa una seria amenaza para la seguridad de las redes domésticas y pequeñas oficinas.
Vector de Ataque y Vulnerabilidades Explotadas
El botnet AyySSHush emplea una estrategia multifacética que combina ataques de fuerza bruta con la explotación de vulnerabilidades específicas. La principal vía de compromiso en dispositivos Asus (modelos RT-AC3100, RT-AC3200 y RT-AX55) se realiza a través de la vulnerabilidad CVE-2023-39780, que permite la inyección de comandos en el sistema. Esta técnica demuestra un nivel avanzado de sofisticación en la metodología de ataque.
Mecanismos de Persistencia y Ocultamiento
Los atacantes han implementado técnicas avanzadas de persistencia, incluyendo la instalación de claves SSH personalizadas y la configuración de un puerto TCP no estándar (53282). Lo más preocupante es que estas modificaciones persisten incluso después de actualizar el firmware del dispositivo, dificultando significativamente la eliminación del acceso malicioso.
Técnicas de Evasión Avanzadas
AyySSHush destaca por su capacidad para evadir la detección mediante la desactivación de los registros del sistema y la neutralización de las funciones de seguridad AiProtection de Trend Micro. La ausencia de malware tradicional en estos ataques complica aún más su detección y análisis.
Medidas de Protección Recomendadas
Para proteger los dispositivos contra AyySSHush, se recomienda implementar las siguientes medidas de seguridad:
– Actualizar inmediatamente el firmware del router a la última versión disponible
– Verificar y eliminar cualquier clave SSH sospechosa
– Implementar el bloqueo de IPs maliciosas conocidas: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237
– Realizar un restablecimiento completo del dispositivo si se detecta compromiso
La magnitud y complejidad de esta campaña subraya la importancia crítica de mantener actualizados los dispositivos de red. Aunque Asus ha liberado parches de seguridad para la vulnerabilidad CVE-2023-39780, es fundamental que los usuarios verifiquen regularmente la disponibilidad de actualizaciones y apliquen las medidas de seguridad recomendadas para proteger sus redes contra esta amenaza emergente.