GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels.
Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur.
Les tactiques incluent un accès initial furtif, l’utilisation de fonctionnalités système intégrées pour la persistance, et une évasion minutieuse de la détection. Bien que GreyNoise n’ait pas attribué cette attaque à un acteur spécifique, le niveau de sophistication suggère un adversaire bien équipé et très capable.
L’outil Sift de GreyNoise, alimenté par l’IA, a permis de détecter ces tentatives subtiles d’exploitation, en utilisant des profils de routeurs ASUS entièrement émulés dans le GreyNoise Global Observation Grid. L’article vise à informer sur cette menace et ses implications pour la sécurité des réseaux.
🧠 TTP et IOC détecté
TTP
Accès initial furtif, Persistance via fonctionnalités système intégrées, Évasion de la détection
🔗 Source originale : https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers