Más de 9,000 enrutadores ASUS secuestrados a través de una puerta trasera SSH persistente

La firma de ciberseguridad GreyNoise ha descubierto una campaña de hacking encubierta que comprometió con éxito más de 9,000 enrutadores ASUS expuestos a Internet .

Detectada por primera vez el 18 de marzo de 2025, por la herramienta de análisis impulsada por IA de GreyNoise, SIFT, la campaña fue divulgada públicamente solo el miércoles después de que los investigadores coordinaran los hallazgos con socios gubernamentales e industriales.

Los atacantes utilizaron una combinación de intentos de inicio de sesión por fuerza bruta, elusión de autenticación y una vulnerabilidad de inyección de comandos conocida (CVE-2023-39780) para instalar silenciosamente una puerta trasera persistente a través de Secure Shell (SSH).

Lo que hace que esta campaña sea especialmente alarmante es su sigilo y resistencia: el acceso no autorizado sobrevive tanto a reinicios como a actualizaciones de firmware, dándoles un control duradero sobre los dispositivos afectados.

“ El atacante mantiene acceso a largo plazo sin dejar caer malware ni dejar rastros obvios al encadenar elusiones de autenticación, explotar una vulnerabilidad conocida y abusar de características de configuración legítimas,” escribieron los investigadores de GreyNoise en su publicación de blog el miércoles.

Utilizando perfiles de enrutadores ASUS completamente emulados que funcionan en la Red de Observación Global de GreyNoise y la inspección profunda de paquetes, los investigadores pudieron reconstruir la cadena de ataque e identificar el mecanismo de la puerta trasera.

Cómo Funciona el Ataque

Los atacantes obtienen acceso inicial a través de intentos de inicio de sesión por fuerza bruta y elusiones de autenticación no documentadas, incluidas técnicas no asignadas a CVEs. Luego explotan una vulnerabilidad conocida, CVE-2023-39780, un defecto de inyección de comandos, para ejecutar comandos arbitrarios en el enrutador.

Usando características legítimas de ASUS, habilitan el acceso SSH en un puerto personalizado (TCP/53282) e insertan una clave pública controlada por el atacante para acceso remoto. La puerta trasera se almacena en memoria no volátil (NVRAM), lo que permite que sobreviva tanto a reinicios como a actualizaciones de firmware.

“Debido a que esta clave se agrega utilizando las características oficiales de ASUS, este cambio de configuración se mantiene a través de las actualizaciones de firmware,” detalla otro informe relacionado de GreyNoise. “Si has sido explotado anteriormente, actualizar tu firmware NO eliminará la puerta trasera SSH.”

Para permanecer ocultos, los atacantes desactivan el registro del sistema, evitan usar malware y eluden AiProtection de Trend Micro, demostrando una planificación cuidadosa y un profundo conocimiento técnico.

Por Qué Es Importante

Los atacantes están ensamblando una red de dispositivos comprometidos—efectivamente un botnet sigiloso—capaz de ser armada en futuras operaciones cibernéticas. Con el registro desactivado y sin firmas de malware para detectar, es poco probable que las herramientas de seguridad tradicionales lo atrapen.

En los últimos tres meses, los sensores de GreyNoise vieron solo 30 solicitudes relacionadas con esta campaña y confirmaron que más de 9,000 enrutadores ASUS han sido comprometidos. De estas solicitudes, la herramienta SIFT de GreyNoise marcó solo tres solicitudes HTTP POST sospechosas para activar una inspección humana.

Dada la sofisticación y el sigilo de los métodos utilizados, GreyNoise sugiere que la campaña puede ser obra de un actor de amenazas bien financiado y altamente capacitado, posiblemente incluso afiliado a un estado-nación, aunque no se ha hecho ninguna atribución formal.

Para el 27 de mayo de 2025, Censys, una plataforma que mapea y monitorea continuamente activos expuestos a Internet en todo el mundo, confirmó que casi 9,000 enrutadores ASUS habían sido comprometidos. El número de hosts afectados está creciendo, y dado lo silenciosa que ha sido la operación, el impacto real podría ser aún más amplio.

ASUS ha parcheado desde entonces CVE-2023-39780 en una reciente actualización de firmware, pero los usuarios deben verificar manualmente y limpiar las puertas traseras existentes.

Recomendaciones

Para mantenerse protegido, se solicita a los usuarios que verifiquen los enrutadores ASUS en busca de acceso SSH en TCP/53282, inspeccionen el archivo authorized_keys en busca de entradas sospechosas, bloqueen las IPs maliciosas identificadas (101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237), y si se sospecha un compromiso, se recomienda realizar un restablecimiento de fábrica completo y reconfigurar el enrutador manualmente.