Oltre 9.000 router ASUS compromessi tramite una backdoor SSH persistente

La società di cybersecurity GreyNoise ha scoperto una campagna di hacking segreta che ha compromesso con successo oltre 9.000 router ASUS esposti a Internet .

Rilevata per la prima volta il 18 marzo 2025, dallo strumento di analisi proprietario basato su AI di GreyNoise, SIFT, la campagna è stata divulgata pubblicamente solo mercoledì dopo che i ricercatori hanno coordinato i risultati con partner governativi e industriali.

Gli attaccanti hanno utilizzato una combinazione di tentativi di accesso brute-force, bypass di autenticazione e una vulnerabilità nota di iniezione di comandi (CVE-2023-39780) per installare silenziosamente una backdoor persistente tramite Secure Shell (SSH).

Ciò che rende questa campagna particolarmente allarmante è la sua furtività e resilienza: l’accesso non autorizzato sopravvive sia ai riavvii che agli aggiornamenti del firmware, dando loro un controllo duraturo sui dispositivi interessati.

“ L’attaccante mantiene l’accesso a lungo termine senza installare malware o lasciare tracce evidenti concatenando bypass di autenticazione, sfruttando una vulnerabilità nota e abusando di funzionalità di configurazione legittime,” hanno scritto i ricercatori di GreyNoise nel loro post sul blog di mercoledì.

Utilizzando profili di router ASUS completamente emulati in esecuzione nella GreyNoise Global Observation Grid e ispezione profonda dei pacchetti, i ricercatori sono stati in grado di ricostruire la catena di attacco e identificare il meccanismo della backdoor.

Come Funziona L’Attacco

Gli attaccanti ottengono l’accesso iniziale attraverso tentativi di accesso brute-force e bypass di autenticazione non documentati, comprese tecniche non assegnate a CVE. Sfruttano quindi una vulnerabilità nota, CVE-2023-39780, un difetto di iniezione di comandi, per eseguire comandi arbitrari sul router.

Utilizzando funzionalità legittime di ASUS, abilitano l’accesso SSH su una porta personalizzata (TCP/53282) e inseriscono una chiave pubblica controllata dall’attaccante per l’accesso remoto. La backdoor è memorizzata nella memoria non volatile (NVRAM), consentendo di sopravvivere sia ai riavvii che agli aggiornamenti del firmware.

“Poiché questa chiave viene aggiunta utilizzando le funzionalità ufficiali di ASUS, questa modifica di configurazione viene mantenuta durante gli aggiornamenti del firmware,” dettaglia un altro rapporto correlato di GreyNoise. “Se sei stato compromesso in precedenza, l’aggiornamento del firmware NON rimuoverà la backdoor SSH.”

Per rimanere nascosti, gli attaccanti disabilitano il logging di sistema, evitano di utilizzare malware e eludono l’AiProtection di Trend Micro—dimostrando una pianificazione attenta e una profonda conoscenza tecnica.

Perché È Importante

Gli attaccanti stanno assemblando una rete di dispositivi compromessi—effettivamente una botnet furtiva—capace di essere utilizzata in future operazioni informatiche. Con il logging disabilitato e senza firme di malware da rilevare, è improbabile che gli strumenti di sicurezza tradizionali riescano a catturarlo.

Negli ultimi tre mesi, i sensori di GreyNoise hanno registrato solo 30 richieste correlate a questa campagna e hanno confermato che oltre 9.000 router ASUS sono stati compromessi. Di queste richieste, lo strumento SIFT di GreyNoise ha segnalato solo tre richieste HTTP POST sospette per attivare un’ispezione umana.

Data la sofisticazione e la furtività dei metodi utilizzati, GreyNoise suggerisce che la campagna potrebbe essere opera di un attore di minaccia ben finanziato e altamente qualificato, possibilmente anche affiliato a uno stato-nazione, sebbene non sia stata effettuata alcuna attribuzione formale.

Entro il 27 maggio 2025, Censys, una piattaforma che mappa e monitora continuamente gli asset esposti a Internet in tutto il mondo, ha confermato che quasi 9.000 router ASUS erano stati compromessi. Il numero degli host interessati è in crescita e, dato quanto silenziosamente si è svolta l’operazione, l’impatto reale potrebbe essere ancora più ampio.

ASUS ha successivamente corretto la CVE-2023-39780 in un recente aggiornamento del firmware, ma gli utenti devono verificare manualmente e ripulire le backdoor esistenti.

Raccomandazioni

Per rimanere protetti, si richiede agli utenti di controllare i router ASUS per l’accesso SSH su TCP/53282, ispezionare il file authorized_keys per voci sospette, bloccare gli IP malevoli identificati (101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237) e, se si sospetta una compromissione, si raccomanda di eseguire un ripristino completo alle impostazioni di fabbrica e riconfigurare manualmente il router.