Исследователи компании SecurityScorecard выявили масштабную вредоносную кампанию WrtHug, нацелившуюся на домашние и SOHO-маршрутизаторы Asus. По их оценкам, уже скомпрометировано порядка 50 000 устройств, преимущественно устаревших моделей серий AC и AX, что делает инцидент одной из наиболее заметных целевых атак на инфраструктуру домашних роутеров за последнее время.
Масштабы атаки на роутеры Asus и география заражения
По данным SecurityScorecard, основная концентрация зараженных роутеров Asus приходится на Тайвань. Значительная доля устройств также зафиксирована в Юго-Восточной Азии, России, Центральной Европе и США. При этом исследователи подчеркивают, что случаев заражения в Китае не обнаружено, несмотря на широкую представленность устройств Asus на этом рынке.
Отсутствие инфицированных роутеров в Китае рассматривается как возможный косвенный признак того, что кампания WrtHug может быть связана с китайскими группировками. Однако сами аналитики отмечают, что собранных данных недостаточно для уверенной атрибуции, а любые выводы о происхождении операторов атаки остаются на уровне гипотез.
Как работает WrtHug: эксплуатация уязвимостей и роль AiCloud
Эксплуатация уязвимостей в прошивке Asus
Атаки WrtHug начинаются с использования нескольких уязвимостей в прошивке роутеров Asus, включая ошибки, позволяющие выполнить внедрение команд (command injection) и другие уже описанные в публичных источниках проблемы безопасности. Основной мишенью становятся устаревшие и давно не обновлявшиеся прошивки, что типично для атак на IoT- и SOHO-устройства.
Особое внимание в отчете уделяется критической уязвимости в компоненте удаленного доступа, о которой Asus предупреждала еще в апреле текущего года. Эта брешь позволяла выполнять команды на устройстве удаленно, без аутентификации, с помощью специально сформированного HTTP-запроса при включенной функции AiCloud.
AiCloud как основная точка входа
По оценке SecurityScorecard, ключевым вектором проникновения злоумышленников стала функция Asus AiCloud — встроенный сервис, превращающий роутер в частный «облачный» сервер с удаленным доступом к файлам и ресурсам локальной сети. Именно через AiCloud, при наличии уязвимой конфигурации и отсутствия обновлений, атакующие получают первый доступ к устройству и разворачивают на нем свой вредоносный функционал.
Признаки компрометации: TLS-сертификат на 100 лет
Главным техническим индикатором заражения роутера кампанией WrtHug стал нестандартный TLS-сертификат AiCloud. На подавляющем большинстве скомпрометированных устройств атакующие заменили штатный сертификат самоподписанным, выделяющимся аномальным сроком действия — 100 лет вместо обычных около 10.
Именно по этому признаку исследователи сумели идентифицировать примерно 50 000 уникальных IP-адресов зараженных роутеров. Среди пораженных устройств — целый ряд популярных моделей Asus, в первую очередь из устаревших линеек AC и AX, которые часто продолжают использоваться без актуальных обновлений безопасности.
Аналитики подчеркивают, что, как и в ранее описанной кампании AyySSHush, операторы WrtHug не перепрошивают устройства и не закрывают эксплуатируемые уязвимости. Это оставляет скомпрометированные роутеры уязвимыми для других группировок и возможного «перехвата» уже зараженной инфраструктуры.
Цели злоумышленников: сеть релейных узлов для скрытых операций
По мнению экспертов, взломанные роутеры Asus используются не как классический ботнет для DDoS-атак, а скорее в качестве сети операционных релейных узлов (operational relay box). Такой подход позволяет:
— проксировать трафик злоумышленников через чужие домашние и офисные сети;
— маскировать реальное местоположение операторов;
— скрывать инфраструктуру командных серверов (C2) за цепочкой скомпрометированных устройств.
При этом в публичном отчете SecurityScorecard пока нет детальной информации о конкретных операциях, проводимых с использованием этой сети. Однако такой подход широко применялся в ряде известных кампаний кибершпионажа, что делает WrtHug потенциальным инструментом для долговременных скрытых операций.
Рекомендации по защите роутеров Asus и снижению рисков
Компания Asus выпустила обновления прошивок для всех выявленных уязвимостей, эксплуатируемых в кампании WrtHug. Владельцам домашних и офисных роутеров настоятельно рекомендуется:
— немедленно обновить прошивку до последней версии через официальный интерфейс управления;
— отключить или ограничить удаленный доступ и сервис AiCloud, если они не используются по прямому назначению;
— сменить все стандартные пароли администратора на уникальные и сложные;
— проверить настройки TLS/HTTPS-доступа и обратить внимание на подозрительные сертификаты с чрезмерно длинным сроком действия;
Если модель роутера больше не поддерживается производителем и не получает патчей безопасности, эксперты советуют заменить устройство на актуальную модель. В крайнем случае — минимизировать его экспозицию в интернет, отключив функции удаленного администрирования.
Отдельно отмечается, что Asus в этом месяце закрыла новую критическую уязвимость обхода аутентификации CVE-2025-59367, затрагивающую модели DSL-AC51, DSL-N16 и DSL-AC750. Пока данных об активной эксплуатации этой бреши нет, однако специалисты ожидают, что она может быть оперативно взята на вооружение злоумышленниками по аналогии с другими уязвимостями в прошивке роутеров.
Инцидент с кампанией WrtHug демонстрирует, что домашние и офисные роутеры давно стали привлекательной целью для атакующих наравне с корпоративными серверами. Регулярные обновления прошивок, отключение ненужных сервисов удаленного доступа и базовая гигиена паролей — минимальный набор действий, позволяющий значительно снизить риск превращения собственного роутера в инструмент чужих киберопераций.
