Plus de 9 000 routeurs ASUS détournés via une porte dérobée SSH persistante

La société de cybersécurité GreyNoise a découvert une campagne de piratage secrète qui a réussi à compromettre plus de 9 000 routeurs ASUS exposés à Internet .

Détectée pour la première fois le 18 mars 2025 par l’outil d’analyse propriétaire alimenté par l’IA de GreyNoise, SIFT, la campagne n’a été rendue publique que mercredi après que les chercheurs ont coordonné leurs découvertes avec des partenaires gouvernementaux et industriels.

Les attaquants ont utilisé une combinaison de tentatives de connexion par force brute, de contournements d’authentification et d’une vulnérabilité d’injection de commande connue (CVE-2023-39780) pour installer discrètement une porte dérobée persistante via Secure Shell (SSH).

Ce qui rend cette campagne particulièrement alarmante, c’est sa discrétion et sa résilience : l’accès non autorisé survit à la fois aux redémarrages et aux mises à jour du firmware, leur donnant un contrôle durable sur les appareils affectés.

“ L’attaquant maintient un accès à long terme sans déposer de malware ni laisser de traces évidentes en enchaînant des contournements d’authentification, en exploitant une vulnérabilité connue et en abusant des fonctionnalités de configuration légitimes,” ont écrit les chercheurs de GreyNoise dans leur article de blog mercredi.

En utilisant des profils de routeurs ASUS entièrement émulés fonctionnant dans la grille d’observation mondiale de GreyNoise et l’inspection approfondie des paquets, les chercheurs ont pu reconstruire la chaîne d’attaque et identifier le mécanisme de la porte dérobée.

Comment fonctionne l’attaque

Les attaquants obtiennent un accès initial par des tentatives de connexion par force brute et des contournements d’authentification non documentés, y compris des techniques non attribuées à des CVE. Ils exploitent ensuite une vulnérabilité connue, CVE-2023-39780, un défaut d’injection de commande, pour exécuter des commandes arbitraires sur le routeur.

En utilisant des fonctionnalités légitimes d’ASUS, ils activent l’accès SSH sur un port personnalisé (TCP/53282) et insèrent une clé publique contrôlée par l’attaquant pour un accès à distance. La porte dérobée est stockée dans la mémoire non volatile (NVRAM), ce qui lui permet de survivre à la fois aux redémarrages et aux mises à jour du firmware.

“Parce que cette clé est ajoutée en utilisant les fonctionnalités officielles d’ASUS, ce changement de configuration est conservé lors des mises à jour du firmware,” détaille un autre rapport connexe de GreyNoise. “Si vous avez été exploité précédemment, la mise à jour de votre firmware ne supprimera PAS la porte dérobée SSH.”

Pour rester cachés, les attaquants désactivent la journalisation système, évitent d’utiliser des malwares et contournent l’AiProtection de Trend Micro—démontrant une planification minutieuse et une connaissance technique approfondie.

Pourquoi c’est important

Les attaquants assemblent un réseau d’appareils compromis—effectivement un botnet furtif—capable d’être armé dans de futures opérations cybernétiques. Avec la journalisation désactivée et aucune signature de malware à détecter, les outils de sécurité traditionnels sont peu susceptibles de le repérer.

Au cours des trois derniers mois, les capteurs de GreyNoise ont vu seulement 30 demandes liées à cette campagne et ont confirmé que plus de 9 000 routeurs ASUS avaient été compromis. Parmi ces demandes, l’outil SIFT de GreyNoise a signalé seulement trois requêtes HTTP POST suspectes pour déclencher une inspection humaine.

Étant donné la sophistication et la discrétion des méthodes utilisées, GreyNoise suggère que la campagne pourrait être l’œuvre d’un acteur de menace bien financé et hautement qualifié, possiblement même affilié à un État-nation, bien qu’aucune attribution formelle n’ait été faite.

D’ici le 27 mai 2025, Censys, une plateforme qui cartographie et surveille en continu les actifs exposés à Internet à travers le monde, a confirmé que près de 9 000 routeurs ASUS avaient été compromis. Le nombre d’hôtes affectés augmente, et étant donné la discrétion avec laquelle l’opération s’est déroulée, l’impact réel pourrait être encore plus large.

ASUS a depuis corrigé la CVE-2023-39780 dans une mise à jour récente du firmware, mais les utilisateurs doivent vérifier manuellement et nettoyer les portes dérobées existantes.

Recommandations

Pour rester protégés, les utilisateurs sont invités à vérifier les routeurs ASUS pour l’accès SSH sur TCP/53282, inspecter le fichier authorized_keys pour des entrées suspectes, bloquer les IP malveillantes identifiées (101.99.91.151, 101.99.94.173, 79.141.163.179 et 111.90.146.237), et si un compromis est suspecté, il est recommandé d’effectuer une réinitialisation complète aux paramètres d’usine et de reconfigurer le routeur manuellement.