Mais de 9.000 Roteadores ASUS Hijackeados via Backdoor SSH Persistente

A empresa de cibersegurança GreyNoise descobriu uma campanha de hacking encoberta que comprometeu com sucesso mais de 9.000 roteadores ASUS expostos à internet .

Detectada pela primeira vez em 18 de março de 2025, pela ferramenta de análise proprietária da GreyNoise, alimentada por IA, SIFT, a campanha foi divulgada publicamente apenas na quarta-feira, após os pesquisadores coordenarem as descobertas com parceiros do governo e da indústria.

Os atacantes usaram uma combinação de tentativas de login por força bruta, contornos de autenticação e uma vulnerabilidade de injeção de comando conhecida (CVE-2023-39780) para instalar silenciosamente uma backdoor persistente via Secure Shell (SSH).

O que torna esta campanha especialmente alarmante é sua furtividade e resiliência: o acesso não autorizado sobrevive tanto a reinicializações quanto a atualizações de firmware, dando-lhes controle durável sobre os dispositivos afetados.

“ O atacante mantém acesso de longo prazo sem soltar malware ou deixar rastros óbvios, encadeando contornos de autenticação, explorando uma vulnerabilidade conhecida e abusando de recursos de configuração legítimos,” escreveram os pesquisadores da GreyNoise em seu post no blog na quarta-feira.

Usando perfis de roteadores ASUS totalmente emulados rodando na Rede Global de Observação da GreyNoise e inspeção profunda de pacotes, os pesquisadores conseguiram reconstruir a cadeia de ataque e identificar o mecanismo da backdoor.

Como o Ataque Funciona

Os atacantes ganham acesso inicial através de tentativas de login por força bruta e contornos de autenticação não documentados, incluindo técnicas não atribuídas a CVEs. Eles então exploram uma vulnerabilidade conhecida, CVE-2023-39780, uma falha de injeção de comando, para executar comandos arbitrários no roteador.

Usando recursos legítimos da ASUS, eles habilitam o acesso SSH em uma porta personalizada (TCP/53282) e inserem uma chave pública controlada pelo atacante para acesso remoto. A backdoor é armazenada na memória não volátil (NVRAM), permitindo que ela sobreviva tanto a reinicializações quanto a atualizações de firmware.

“Como essa chave é adicionada usando os recursos oficiais da ASUS, essa alteração de configuração é mantida durante as atualizações de firmware,” detalha outro relatório relacionado da GreyNoise. “Se você foi explorado anteriormente, atualizar seu firmware NÃO removerá a backdoor SSH.”

Para permanecer ocultos, os atacantes desativam o registro do sistema, evitam usar malware e evitam a AiProtection da Trend Micro—demonstrando planejamento cuidadoso e profundo conhecimento técnico.

Por Que Isso Importa

Os atacantes estão montando uma rede de dispositivos comprometidos—efetivamente uma botnet furtiva—capaz de ser armada em futuras operações cibernéticas. Com o registro desativado e sem assinaturas de malware para detectar, ferramentas de segurança tradicionais provavelmente não conseguirão capturá-la.

Nos últimos três meses, os sensores da GreyNoise viram apenas 30 solicitações relacionadas a esta campanha e confirmaram que mais de 9.000 roteadores ASUS foram comprometidos. Destas solicitações, a ferramenta SIFT da GreyNoise sinalizou apenas três solicitações HTTP POST suspeitas para acionar inspeção humana.

Dada a sofisticação e furtividade dos métodos utilizados, a GreyNoise sugere que a campanha pode ser obra de um ator de ameaça bem financiado e altamente qualificado, possivelmente até mesmo afiliado a um estado-nação, embora nenhuma atribuição formal tenha sido feita.

Até 27 de maio de 2025, a Censys, uma plataforma que mapeia e monitora continuamente ativos expostos à internet em toda a internet global, confirmou que quase 9.000 roteadores ASUS haviam sido comprometidos. O número de hosts afetados está crescendo, e dado como a operação se desenrolou silenciosamente, o impacto real pode ser ainda mais amplo.

A ASUS desde então corrigiu a CVE-2023-39780 em uma atualização de firmware recente, mas os usuários devem verificar manualmente e limpar as backdoors existentes.

Recomendações

Para se manter protegido, os usuários são solicitados a verificar os roteadores ASUS para acesso SSH na TCP/53282, inspecionar o arquivo authorized_keys em busca de entradas suspeitas, bloquear os IPs maliciosos identificados (101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237), e se uma violação for suspeitada, recomenda-se realizar um reset de fábrica completo e reconfigurar o roteador manualmente.