Lo scorso marzo 2025, la piattaforma di intelligence GreyNoise ha scoperto una campagna di compromissione ai danni di migliaia di router ASUS e solo in questi giorni il problema è stato reso pubblico. Il numero stimato dei dispositivi colpiti alla data del 27 Maggio supera le 9000 unità, ma è una cifra in costante crescita.
Si tratta di una compromissione senza malware, difficile da rilevare, che sfrutta funzionalità legittime dei dispositivi per garantire l’accesso remoto continuo. Nonostante i tentativi di mitigazione tramite aggiornamenti firmware, l’accesso degli aggressori persiste grazie a tecniche che agiscono a livello di configurazione. Il rischio è che questi router possano essere assemblati in una botnet silenziosa, pronta per campagne future. Una botnet è una rete di dispositivi compromessi e telecomandati da un’unica entità per svolgere attività informatiche malevole coordinate.
L’indagine, inizialmente tenuta riservata, ha coinvolto anche governi e partner industriali per una risposta coordinata. ASUS, coinvolta direttamente, ha rilasciato aggiornamenti per CVE note come la 2023-39780; sfortunatamente queste patch sono inutili se l’hacker ha già modificato la configurazione del router. Se si sospetta una compromissione, GreyNoise consiglia di eseguire un ripristino completo delle impostazioni di fabbrica e riconfigurare tutto manualmente.
Meccanismi d’attacco e persistenza del backdoor nei router ASUS
Gli aggressori sfruttano una combinazione di attacchi brute-force alle credenziali, vulnerabilità note (come CVE-2023-39780) e due bypass di autenticazione non ancora associati a CVE ufficiali. Una volta ottenuto l’accesso, abilitano il servizio SSH su una porta non standard (TCP/53282) e inseriscono una chiave pubblica nel file authorized_keys. Questo garantisce un accesso remoto persistente e invisibile; non viene installato malware, la configurazione sfrutta funzionalità ufficiali del firmware ASUS, e il logging viene disattivato per evitare tracciamenti.
Inoltre, le modifiche vengono scritte nella memoria NVRAM, il che significa che sopravvivono sia ai riavvii sia agli aggiornamenti firmware. Le tecniche osservate, secondo GreyNoise, mostrano una competenza operativa tipica di hacker ben finanziati, suggerendo un possibile coinvolgimento statale. La campagna, denominata anche “ViciousTrap” da Sekoia.io, sembra far parte di una strategia a lungo termine basata sull’uso di dispositivi edge come nodi ORB (Operational Relay Box).
Dispositivi colpiti e implicazioni future
I modelli noti coinvolti includono ASUS RT-AC3100, RT-AC3200, RT-AX55, GT-AC2900 e Lyra Mini. Tuttavia, è probabile che anche altri dispositivi ASUS condividano vulnerabilità simili, vista l’uniformità del codice firmware tra i modelli. Al momento, gli aggressori non sembrano aver attivato funzionalità dannose; ma l’esistenza di accessi remoti SSH non autorizzati costituisce una minaccia potenziale molto seria.
Un utilizzo futuro di questi router potrebbe spaziare dal lancio di attacchi DDoS all’impiego in operazioni di sorveglianza mirata. Secondo le analisi, gli aggressori hanno usato anche stringhe user-agent manipolate come “asusrouter–” e cookie appositamente formattati per ingannare la logica di autenticazione del firmware vulnerabile.
Come identificare l’infezione e ripristinare la sicurezza sui router ASUS
GreyNoise e runZero hanno pubblicato linee guida tecniche dettagliate per identificare la presenza del backdoor attivo nei router ASUS compromessi. Il primo controllo da effettuare è verificare se il dispositivo espone il servizio SSH sulla porta TCP/53282; la presenza di questa porta attiva è un forte indicatore di compromissione.
Successivamente, è necessario esaminare il contenuto del file authorized_keys. La presenza di chiavi pubbliche sconosciute suggerisce l’accesso remoto non autorizzato. In queste circostanze, aggiornare il firmware non basta; è indispensabile procedere con un reset completo alle impostazioni di fabbrica. Questa operazione deve includere la cancellazione della memoria NVRAM. Solo così si possono rimuovere le configurazioni persistenti introdotte dagli attaccanti. La successiva riconfigurazione va eseguita manualmente, evitando di ripristinare backup potenzialmente compromessi.
Inoltre, si raccomanda di cambiare tutte le password di amministrazione; mentre le chiavi SSH devono essere rigenerate. Ogni elemento preesistente deve essere considerato potenzialmente a rischio. Gli amministratori di rete dovrebbero anche bloccare tramite firewall tutti gli IP malevoli conosciuti che al momento sono
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
Contemporaneamente, è opportuno monitorare il traffico per rilevare tentativi anomali di accesso o comunicazioni sospette. Intervenire con tempestività è fondamentale; solo agendo in modo proattivo si può impedire che questi router diventino strumenti silenziosi a disposizione di attori malevoli.
Se vuoi approfondire i dettagli dell’attacco puoi leggere questo articolo di GreyNoise.
