Campanha compromete dezenas de milhares de roteadores ASUS WRT antigos, com abuso do AiCloud, certificado TLS próprio e persistência associada a acesso SSH.
| Componente | Roteadores ASUS WRT desatualizados ou em fim de vida, com forte presença do serviço proprietário ASUS AiCloud exposto à internet. |
| Vetor | Exploração provável de vulnerabilidades conhecidas, incluindo CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 e CVE-2025-2492, combinando injeção de comandos e bypass de autenticação. |
| Impacto | Tomada de controle de roteadores suscetíveis, inclusão em uma rede massiva de dispositivos comprometidos e implantação de backdoors persistentes via SSH. |
| Prioridade | Inventariar roteadores ASUS WRT fora de suporte, reduzir exposição do AiCloud, substituir equipamentos EoL e procurar o certificado TLS autoassinado associado à campanha. |
| Escala | Mais de 50.000 endereços IP únicos de dispositivos comprometidos foram identificados em seis meses, com predominância em Taiwan, Estados Unidos e Rússia. |
| Artefatos | Todos os roteadores infectados observados compartilham um certificado TLS autoassinado único, com expiração configurada para 100 anos a partir de abril de 2022. |
A Operação WrtHug descreve uma campanha de sequestro de roteadores ASUS WRT antigos ou em fim de vida, com comprometimento em larga escala de dispositivos conectados à internet. A atividade foi observada em dezenas de milhares de equipamentos, com mais de 50.000 endereços IP únicos associados a roteadores comprometidos ao longo de seis meses. A distribuição geográfica inclui Taiwan, Estados Unidos e Rússia como regiões predominantes, além de infecções em países do Sudeste Asiático e da Europa.
O ponto técnico central é o abuso de roteadores que já não recebem o mesmo nível de correção, validação e suporte operacional esperado para equipamentos ativos. A campanha se apoia em vulnerabilidades conhecidas, não em uma falha inédita descrita como zero-day no material analisado. O uso de falhas n-day em dispositivos EoL reduz a barreira operacional para o atacante, porque muitos ambientes mantêm roteadores legados expostos, com serviços remotos habilitados e baixa visibilidade de logs.
A telemetria associada aos dispositivos comprometidos aponta forte relação com o ASUS AiCloud. Cerca de 99% dos serviços que apresentam o certificado TLS observado na campanha são instâncias do AiCloud, serviço proprietário usado para permitir acesso remoto, via internet, a armazenamento local ligado ao roteador. Essa concentração torna o AiCloud uma superfície prioritária para inventário, redução de exposição e validação de comprometimento em ambientes que ainda dependem de roteadores ASUS WRT antigos.
A atividade tem semelhanças com redes de retransmissão operacional e botnets associadas a campanhas anteriores, inclusive operações vinculadas ao ecossistema chinês de ameaças. Ainda assim, a atribuição permanece limitada: o contexto sustenta uma hipótese de possível ator afiliado à China por causa da concentração contra Taiwan e de sobreposições táticas com campanhas anteriores, mas não apresenta prova conclusiva sobre operador, patrocinador ou cadeia de comando.
A cadeia de ataque provavelmente começa com a identificação de roteadores ASUS WRT expostos e em fim de vida, especialmente aqueles que mantêm o AiCloud acessível pela internet. A exploração envolve um conjunto de vulnerabilidades conhecidas, incluindo CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 e CVE-2025-2492. O contexto descreve uso de injeções de comando e bypasses de autenticação, o que indica uma combinação de falhas que pode permitir elevação de privilégio ou execução de ações administrativas sem uma sessão legítima previamente estabelecida.
Depois do acesso, os operadores tentam manter presença por meio de backdoors persistentes via SSH. O ponto relevante para defesa é que a persistência não depende necessariamente de um binário de malware evidente em endpoint tradicional. Em roteadores, o atacante pode abusar de recursos legítimos do próprio equipamento, alterar configuração, habilitar acesso remoto ou inserir mecanismos que sobrevivem a reinicializações e, em alguns casos, até a atualizações de firmware, conforme descrito no contexto da campanha.
Todos os roteadores infectados observados compartilham um certificado TLS autoassinado único. A expiração desse certificado foi configurada para 100 anos a partir de abril de 2022, característica incomum para serviços administrativos comuns e útil como pivô de hunting. O certificado não prova sozinho a exploração de uma vulnerabilidade específica, mas funciona como forte artefato de correlação quando aparece em um roteador ASUS WRT exposto com AiCloud ativo.
A campanha também se cruza parcialmente com outro cluster conhecido como AyySSHush, também chamado ViciousTrap. Sete endereços IP apresentaram sinais de comprometimento associados tanto à WrtHug quanto à AyySSHush. A sobreposição é relevante para análise de ameaça, especialmente porque a exploração de CVE-2023-39780 já foi associada ao outro cluster, mas o próprio conjunto de evidências não permite afirmar que os grupos sejam o mesmo operador. A conclusão defensiva correta é tratar a sobreposição como pista de investigação, não como atribuição final.
A superfície afetada é composta por roteadores ASUS WRT desatualizados ou fora de suporte, principalmente quando expõem serviços administrativos ou de acesso remoto à internet. O AiCloud aparece como o serviço mais associado ao certificado observado, o que sugere que organizações e usuários que mantêm esse recurso acessível publicamente devem priorizar revisão. A criticidade aumenta quando o roteador atua como borda de rede, ponto de NAT, terminador de acesso remoto ou equipamento compartilhado entre usuários e serviços internos.
O impacto operacional não deve ser analisado como falha de firmware isolada. Roteadores comprometidos podem ser usados como infraestrutura intermediária para mascarar tráfego, compor redes distribuídas e sustentar campanhas futuras. O contexto não confirma exfiltração de dados, movimentação lateral ou exploração ativa contra sistemas internos atrás dos roteadores; portanto, a análise deve limitar o impacto confirmado à tomada de controle do equipamento, persistência via SSH e incorporação em uma rede massiva de dispositivos sequestrados.
- Roteadores ASUS WRT em fim de vida ou sem correções recentes aplicadas.
- Instâncias do ASUS AiCloud expostas à internet, especialmente quando associadas ao certificado TLS autoassinado descrito.
- Ambientes em Taiwan, Estados Unidos e Rússia aparecem como mais afetados, com registros adicionais no Sudeste Asiático e na Europa.
- Dispositivos com sinais simultâneos de WrtHug e AyySSHush exigem análise separada, pois a sobreposição não comprova operador comum.
A busca defensiva deve começar pelo inventário de borda. Equipes de rede precisam identificar modelos ASUS WRT ainda em produção, confirmar status de suporte, verificar se o AiCloud está habilitado e mapear quais serviços respondem externamente. Como o contexto aponta um certificado TLS autoassinado único compartilhado pelos dispositivos infectados, a coleta de banners TLS e metadados de certificado pode ajudar a localizar ativos com possível comprometimento sem depender de execução de comandos no roteador.
Em logs e configurações do equipamento, os sinais mais relevantes são alterações inesperadas em SSH, mudanças em recursos de acesso remoto, contas administrativas não reconhecidas e persistência que reaparece após reinicialização. Como roteadores domésticos e pequenos equipamentos de borda frequentemente têm baixa retenção de logs, a análise deve combinar evidência local com telemetria externa: varredura de serviços, histórico de exposição, mudanças de certificado, tráfego de saída incomum e comunicação recorrente com destinos não esperados.
A investigação deve manter cautela com atribuição. A concentração geográfica contra Taiwan e a semelhança com redes de retransmissão e botnets ligadas ao ecossistema chinês são elementos úteis para priorização de inteligência, mas não bastam para declarar autoria. Para equipes de threat intel, a pergunta operacional mais útil é se o roteador pode estar sendo usado como infraestrutura de retransmissão, não apenas se ele pertence a uma campanha nomeada.
- Serviço ASUS AiCloud exposto publicamente em roteadores ASUS WRT antigos.
- Certificado TLS autoassinado com validade de 100 anos a partir de abril de 2022.
- SSH habilitado ou modificado sem mudança administrativa documentada.
- Configurações de acesso remoto que retornam após reinicialização ou atualização de firmware.
- Endereços IP com sinais simultâneos de WrtHug e AyySSHush, tratados como caso de correlação e não como atribuição conclusiva.
A resposta deve priorizar remoção de exposição e substituição de equipamentos EoL. Em roteadores fora de suporte, aplicar mitigação parcial pode reduzir risco imediato, mas não resolve a ausência estrutural de correções futuras. Quando o equipamento estiver em borda crítica, a ação defensiva mais consistente é retirar o dispositivo de produção ou migrar para hardware com ciclo de suporte ativo. Se a substituição não for imediata, o AiCloud e qualquer acesso remoto desnecessário devem ser desabilitados, e a administração deve ficar restrita a redes confiáveis.
Para dispositivos suspeitos, uma reinicialização simples não é suficiente, porque a campanha foi associada a persistência via SSH e abuso de recursos legítimos do roteador. A validação precisa incluir revisão de contas, chaves, serviços remotos, configurações de inicialização e firmware instalado. Quando houver indício de comprometimento, a recuperação deve partir de imagem confiável, redefinição controlada de configuração, troca de credenciais administrativas e verificação externa para confirmar que o certificado e os serviços suspeitos desapareceram.
Em redes corporativas, MSPs e ambientes distribuídos, a mitigação também deve cobrir inventário contínuo. Roteadores legados muitas vezes ficam fora do escopo de EDR e SIEM, mas continuam processando tráfego sensível e fornecendo ponto de entrada ou retransmissão. A campanha WrtHug reforça que equipamentos de borda precisam entrar em processos de gestão de vulnerabilidade, com dono definido, data de fim de suporte registrada e rotina de retirada antes que falhas n-day virem mecanismo previsível de comprometimento.
- Inventariar roteadores ASUS WRT e classificar quais estão em fim de vida.
- Desabilitar AiCloud e acesso remoto público quando não houver necessidade operacional comprovada.
- Restringir administração do roteador a redes confiáveis e revisar SSH, contas e chaves autorizadas.
- Substituir dispositivos EoL por equipamentos com suporte ativo e política clara de atualização.
- Validar externamente se o certificado TLS autoassinado associado à campanha continua sendo apresentado.
- Tratar sobreposição com AyySSHush como prioridade de investigação, sem assumir atribuição conclusiva.
0 Comentários