Компания SecurityScorecard сообщила о вредоносной кампании WrtHug, в рамках которой было скомпрометировано около 50 000 маршрутизаторов Asus по всему миру. По данным исследователей, атаке в основном подверглись устаревшие модели.
Большинство зараженных устройств находятся на Тайване, остальные — в странах Юго-Восточной Азии, России, Центральной Европы и США. Заражений в Китае зафиксировано не было. Специалисты отмечают, что это может указывать на происхождение злоумышленников, но для точной атрибуции доказательств недостаточно.
В ходе кампании эксплуатировались шесть уязвимостей. Наиболее критичной из них является CVE-2025-2492 — обход аутентификации в роутерах с включенной функцией AiCloud. Именно эта функция, предоставляющая удаленный доступ к устройству, стала основной точкой входа для атакующих.
Главным признаком заражения является наличие самоподписанного TLS-сертификата в AiCloud с сроком действия 100 лет. По этому индикатору и было выявлено около 50 000 зараженных устройств.
Исследователи полагают, что скомпрометированные роутеры могут использоваться в качестве прокси-серверов для скрытия активности злоумышленников. При этом в отчете не содержится конкретных данных о том, какая именно информация передавалась через эти устройства.
Производитель уже выпустил патчи для всех использованных уязвимостей. Владельцам маршрутизаторов Asus рекомендуется обновить прошивку, а для неподдерживаемых моделей — отключить функции удаленного доступа или заменить устройство.