Trong 6 tháng qua, SecurityScorecard xác định được khoảng 50.000 IP liên quan đến việc router ASUS bị xâm phạm. Hầu hết các thiết bị này đều có địa chỉ IP ở Đài Loan, trong khi những thiết bị khác được phân phối khắp Đông Nam Á, Nga, Trung Âu và Mỹ.
Đáng chú ý là không có trường hợp lây nhiễm nào được quan sát thấy ở Trung Quốc, điều này có thể chỉ ra tác nhân đe dọa từ quốc gia này, nhưng các nhà nghiên cứu không tìm thấy đủ bằng chứng để xác định với độ tin cậy cao.
Theo các nhà nghiên cứu STRIKE của SecurityScorecard, dựa trên phương pháp nhắm mục tiêu và tấn công, có thể tồn tại mối liên hệ giữa Chiến dịch WrtHug và Chiến dịch AyySSHush, từng được hãng bảo mật GreyNoise ghi nhận lần đầu tiên vào tháng 5/2025.
.jpg)
WrtHug lây nhiễm trên toàn cầu
Các cuộc tấn công bắt đầu bằng việc khai thác lỗ hổng command injection và các lỗ hổng khác trong router ASUS WRT, chủ yếu là các thiết bị dòng AC và dòng AX. Theo các nhà nghiên cứu, chiến dịch WrtHug có thể lợi dụng các vấn đề bảo mật sau đây trong các cuộc tấn công:
- CVE-2023-41345/46/47/48: Lỗ hổng command injection thông qua mô-đun token.
- CVE-2023-39780: Lỗ hổng command injection nghiêm trọng (cũng được sử dụng trong Chiến dịch AyySSHush).
- CVE-2024-12912: Thực thi lệnh tùy ý.
- CVE-2025-2492: Kiểm soát xác thực không đúng cách có thể dẫn đến thực thi các chức năng trái phép.
Trong số các lỗ hổng bảo mật nêu trên, CVE-2025-2492 nổi bật với mức độ nghiêm trọng. Một khuyến cáo bảo mật từ ASUS vào tháng 4 năm nay đã cảnh báo về tác động của lỗ hổng này và cho rằng nó có thể được kích hoạt bởi một yêu cầu giả mạo trên các router đã bật tính năng AiCloud.
Trong báo cáo ngày ngày 19/11, SecurityScorecard cho biết: “Trong trường hợp này, kẻ tấn công dường như đã lợi dụng dịch vụ ASUS AiCloud để triển khai một bộ tấn công tinh vi trên phạm vi toàn cầu”.
Một dấu hiệu cho thấy sự xâm phạm trong chiến dịch này là sự hiện diện của chứng thư số TLS tự ký (self-signed) trong các dịch vụ AiCloud, thay thế chứng chỉ tiêu chuẩn do ASUS tạo ra trên 99% thiết bị bị xâm phạm. Chứng chỉ mới này gây chú ý vì có thời hạn sử dụng lên đến 100 năm, so với chứng chỉ gốc chỉ có hiệu lực trong 10 năm. Các nhà nghiên cứu đã sử dụng chứng chỉ này để xác định 50.000 địa chỉ IP bị nhiễm.
.png)
Chứng chỉ độc hại tự ký
Giống như trong Chiến dịch AyySSHush, kẻ tấn công không nâng cấp firmware trên thiết bị bị xâm phạm, khiến chúng có nguy cơ bị các tác nhân đe dọa khác chiếm quyền kiểm soát. Dựa trên các chỉ số bị xâm phạm, các nhà nghiên cứu đã xác định các thiết bị ASUS sau đây đang bị Chiến dịch WrtHug nhắm mục tiêu: Router ASUS 4G-AC55U; router ASUS 4G-AC860U; router ASUS DSL-AC68U; router ASUS GT-AC5300; router ASUS GT-AX11000; router ASUS RT-AC1200HP; router ASUS RT-AC1300GPLUS; router ASUS RT-AC1300UHP.
STRIKE nhận định rằng các router bị xâm nhập có thể được sử dụng trong các hoạt động tấn công mạng của tin tặc Trung Quốc, chẳng hạn như proxy cũng như cơ sở hạ tầng điều khiển và ra lệnh. Tuy nhiên, báo cáo không đi sâu chi tiết vào các hoạt động sau khi bị xâm nhập.
ASUS đã phát hành bản cập nhật bảo mật để giải quyết mọi lỗ hổng bị lạm dụng trong các cuộc tấn công WrtHug, vì vậy chủ sở hữu router nên nâng cấp firmware lên phiên bản mới nhất hiện có. Nếu thiết bị không còn được hỗ trợ, người dùng nên thay thế thiết bị hoặc ít nhất là tắt tính năng truy cập từ xa.
Gần đây, ASUS cũng đã vá CVE-2025-59367, một lỗ hổng bypass xác thực ảnh hưởng đến một số mẫu dòng AC. Mặc dù chưa bị khai thác nhưng lỗ hổng này được dự đoán là có thể sớm bị kẻ tấn công thêm vào danh sách và khai thác.
