Tysiące routerów przejętych przez chiński botnet. Oto lista zagrożonych modeli

Eksperci z SecurityScorecard wspólnie z firmą Asus ujawnili zorganizowaną kampanię cybernetyczną, w której tysiące routerów ASUS po zakończeniu okresu wsparcia zostało przejętych i przekształconych w botnet.

Atak zyskał nazwę „Operacja WrtHug”, odnoszącą się do oprogramowania AsusWRT obecnego w routerach Asusa. Autorzy kampanii stworzyli infrastrukturę ukierunkowaną na operacje szpiegowskie, wykorzystując wygasłe sprzęty jako elementy dużej sieci przekaźników.

Zainfekowane routery stały się węzłami pośredniczącymi w komunikacji. Atakujący kierują przez nie własny ruch, maskują swoje połączenia podczas włamań i budują złożone zaplecze komunikacyjne C2. Struktura przypomina wcześniej obserwowane projekty klasy ORB (Operational Relay Box), które wykorzystywano w operacjach powiązanych ze stroną chińską.

Stare podatności, nowe możliwości. Znane luki wykorzystane na szeroką skalę

W przejętych urządzeniach wykorzystywano zestaw luk bezpieczeństwa: CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912 oraz CVE-2025-2492. Wszystkie pozostają obecne w urządzeniach od dłuższego czasu. Routery, które utraciły wsparcie, nie otrzymywały aktualizacji, a część użytkowników nigdy ich nie instalowała. Atakujący dysponowali więc stabilną przestrzenią do wdrażania własnej infrastruktury.

Operacja WrtHug podkreśla problem utrzymania infrastruktury sieciowej po zakończeniu wsparcia producenta.

Według badaczy przejęte modele to między innymi 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS oraz RT-AC1300UHP. Liczbę zainfekowanych urządzeń określono jako liczoną „w tysiącach”. W każdym z nich zainstalowano unikalny, własnoręcznie podpisany certyfikat TLS z okresem ważności wynoszącym 100 lat. Badacze podkreślili, że tak długi okres ważności wskazuje na zaawansowane przygotowanie i skoordynowanie operacji.

Infrastruktura osadzona w regionie. Dominuje Tajwan i Azja Południowo-Wschodnia

Zlokalizowane urządzenia znajdują się przede wszystkim na Tajwanie oraz w państwach Azji Południowo-Wschodniej. To właśnie tam routery stały się podstawą rozległej infrastruktury przekaźnikowej. Z raportu wynika, że w Chinach kontynentalnych nie odnaleziono zainfekowanych egzemplarzy. Rozmieszczenie geograficzne wpisuje się w kierunki, które od lat są przedmiotem nacisku operacji powiązywanych z państwem chińskim.

Badacze zwracają uwagę, że infrastruktura zbudowana na cudzych routerach pozwala atakującym realizować działania szpiegowskie w sposób trudny do prześledzenia. Przekierowanie ruchu przez urządzenia prywatnych użytkowników tworzy warstwę ukrycia, a zarazem platformę pozwalającą na ataki na cele o znaczeniu politycznym i gospodarczym.

Chińskie podmioty sponsorowane przez państwo

SecurityScorecard przypisuje kampanię podmiotom wspieranym przez państwo chińskie. Badacze opisują spójność działań, wykorzystanie podatności n-day oraz sposób zarządzania certyfikatami jako elementy charakterystyczne dla operacji państwowych. W ich ocenie skala botnetu oraz sposób jego zorganizowania odzwierciedlają długoterminowe przygotowania i koncentrację na celach strategicznych.