Underc0de - La Casa de los Informáticos

La superficie de ataque contra dispositivos de red domésticos y empresariales sigue creciendo, y los actores maliciosos lo saben. En una de las campañas más importantes detectadas en los últimos meses, miles de routers ASUS WRT han sido comprometidos por una operación global bautizada como Operación WrtHug, un ataque masivo que explota seis vulnerabilidades para secuestrar dispositivos obsoletos o en fin de vida. Esta operación ha afectado ya a 50.000 direcciones IP únicas en todo el mundo, según un informe reciente de SecurityScorecard STRIKE.

Este incidente coloca nuevamente bajo el foco la importancia de actualizar firmware, retirar equipos obsoletos y adoptar estrategias de ciberseguridad que mitiguen campañas automatizadas altamente sofisticadas.

Una campaña global con epicentro en Taiwán y presencia en todo el mundo

Durante los últimos seis meses, los investigadores desplegaron escáneres específicos para detectar routers ASUS manipulados por WrtHug. El resultado fue alarmante: 50.000 IPs infectadas, con la mayor concentración en Taiwán, seguidas por países del sudeste asiático, Europa Central, Rusia y Estados Unidos.

Llama la atención la ausencia de infecciones en China, un indicador que podría sugerir la procedencia del actor malicioso. Aunque los investigadores mencionan esta posibilidad, no existe evidencia suficiente para atribuir la operación con alta confianza.

Posible conexión con la campaña AyySSHush

El equipo STRIKE destaca fuertes similitudes entre WrtHug y AyySSHush, una campaña descubierta por GreyNoise en mayo. Ambas comparten metodologías, objetivos, vulnerabilidades explotadas y técnicas de intrusión, lo que sugiere que podrían formar parte de un conjunto más amplio de operaciones dirigidas contra routers expuestos a Internet.

Si estas campañas están relacionadas, estaríamos ante una infraestructura global de routers comprometidos, operando como nodos de retransmisión para actividades de ciberespionaje.

Cómo opera WrtHug: explotación de vulnerabilidades críticas en ASUS WRT

El ataque comienza con la explotación sistemática de vulnerabilidades conocidas en routers ASUS, especialmente modelos de las series AC y AX. Las fallas explotadas incluyen:

Vulnerabilidades identificadas en la campaña

• CVE-2023-41345/41346/41347/41348 – Inyección de comandos del sistema operativo mediante módulos de token.
• CVE-2023-39780 – Falla de inyección de comando ampliamente utilizada en AyySSHush.
• CVE-2024-12912 – Ejecución arbitraria de comandos con alta facilidad de explotación.
• CVE-2025-2492 – Falla crítica de control de autenticación, activable a través de AICloud.

La vulnerabilidad CVE-2025-2492 es la más grave, permitiendo la ejecución no autorizada de funciones en routers con AiCloud activado, lo que abre la puerta a compromisos profundos de seguridad.

AiCloud, la puerta de entrada preferida por los atacantes

SecurityScorecard afirma que los operadores de la campaña aprovecharon el servicio AiCloud para desplegar su red de intrusión global. El indicador de compromiso (IoC) más significativo fue la aparición de un certificado TLS autofirmado:

Diferencias entre el certificado original y el malicioso:

• El certificado legítimo de ASUS es válido 10 años.
• El certificado malicioso tiene una vigencia de 100 años, lo que llamó la atención de los analistas.

Este certificado sustituyó al original en el 99% de los routers comprometidos, permitiendo a los investigadores identificar los dispositivos afectados con una precisión sin precedentes.

Modelos de routers ASUS afectados por Operación WrtHug

Los investigadores identificaron múltiples dispositivos objetivo, entre ellos:

• ASUS 4G-AC55U
• ASUS 4G-AC860U
• ASUS DSL-AC68U
• ASUS GT-AC5300
• ASUS GT-AX11000
• ASUS RT-AC1200HP
• ASUS RT-AC1300GPLUS
• ASUS RT-AC1300UHP

Muchos de estos modelos han sido catalogados como obsoletos o con soporte limitado, lo que los convierte en presas fáciles para actores maliciosos que rastrean dispositivos sin parches.

Uso de los routers secuestrados como ORB en operaciones chinas

STRIKE concluye que los routers comprometidos podrían estar operando como ORB (Operational Relay Boxes), es decir:

• Nodos de retransmisión furtivos
• Proxies encubiertos
• Infraestructura oculta para mando y control

Este tipo de red distribuida permite ocultar la actividad maliciosa, enmascarar tráfico y ejecutar campañas complejas sin dejar rastros directos del origen.

Mitigación urgente: actualizaciones y retirada de equipos obsoletos

ASUS ya ha publicado actualizaciones de seguridad que corrigen todas las vulnerabilidades explotadas en WrtHug. Sin embargo, muchos de los modelos afectados ya se encuentran fuera del ciclo de soporte.

Recomendaciones para usuarios y administradores:

• Actualizar inmediatamente el firmware del dispositivo a la última versión disponible.
• Si el router está EoL (End of Life), sustituirlo inmediatamente.
• Desactivar AiCloud y accesos remotos si no son necesarios.
• Revisar la configuración del firewall y contraseñas administrativas.
• Analizar el tráfico en busca de certificados TLS sospechosos.

Nueva vulnerabilidad en routers ASUS: CVE-2025-59367

Además de WrtHug, ASUS parcheó recientemente CVE-2025-59367, una vulnerabilidad de bypass de autenticación que afecta a varios routers AC. Aunque todavía no se han observado ataques activos, los investigadores advierten que podría ser incorporada a futuras campañas.

En fin...

La Operación WrtHug demuestra que los routers domésticos y empresariales siguen siendo objetivos prioritarios para actores maliciosos que buscan crear redes encubiertas de infraestructura distribuida. La explotación de vulnerabilidades críticas en dispositivos obsoletos, combinada con técnicas avanzadas de persistencia y evasión, subraya la necesidad urgente de actualizar, reemplazar y proteger adecuadamente los routers ASUS vulnerables.

Fuente: https://www.bleepingcomputer.com/