Source : SecurityScorecard (équipe STRIKE). Ce billet présente l’opération WrtHug, une campagne à grande échelle ciblant des routeurs ASUS WRT, principalement des appareils en fin de vie, afin de les intégrer à une infrastructure d’espionnage globale.

• Portée et attribution présumée : plus de 50 000 adresses IP uniques de routeurs compromis ont été observées sur six mois. L’équipe STRIKE évalue avec confiance faible à modérée qu’il s’agit d’une campagne ORB (Operational Relay Box) menée par un acteur affilié à la Chine 🕵️‍♂️. De 30 à 50 % des appareils touchés seraient situés à Taïwan, avec d’autres foyers aux États-Unis, en Russie, en Asie du Sud-Est et en Europe.

• Vecteurs et vulnérabilités : les attaquants exploitent des failles connues (Nth day), principalement des injections de commandes OS sur des routeurs ASUS WRT. Sont cités : CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348 (associées à CVE-2023-39780, CVSS 8,8), CVE-2024-12912 (exécution arbitraire de commandes, CVSS 7,2) et CVE-2025-2492 (contrôle d’authentification inadéquat, CVSS 9,2). Le service AiCloud d’ASUS est indiqué comme vecteur d’accès initial privilégié.

• Signes techniques et corrélations : les routeurs infectés partagent un certificat TLS auto-signé au périmètre de validité de 100 ans, un empreinteur servant d’indicateur de compromission. La campagne présente des similitudes avec AyySSHush, une autre opération ORB suspectée d’être liée à la Chine, ciblant également CVE-2023-39780, avec un faible chevauchement de nœuds doublement compromis, suggérant une possible coordination.

• Mode opératoire : au-delà du bruteforce, les attaquants mènent des infections multi-étapes, avec des signes de compromission apparaissant sur d’autres services du routeur (par ex. panneau de gestion), indiquant une prise de contrôle approfondie. Les cibles sont surtout des appareils EoL et des logiciels hérités.

• Contexte éditeur et remédiation : SecurityScorecard indique avoir travaillé avec ASUS pour cette recherche. ASUS déclare avoir traité les vulnérabilités mentionnées dans un avis de sécurité et décrit des étapes de mitigation en cas de compromission.

IOCs principaux:

  • Certificat TLS auto-signé commun avec validité de 100 ans (empreinte singulière pour identifier les nœuds infectés)
  • Observations de >50 000 IP de routeurs compromis sur 6 mois

TTPs observées:

  • Exploitation de vulnérabilités Nth day sur ASUS WRT (notamment injections de commandes OS)
  • Ciblage d’AiCloud comme accès initial
  • Infections multi-étapes et compromission potentielle du panneau d’administration
  • Utilisation d’infrastructure ORB pour masquer et relayer les opérations

Conclusion : il s’agit d’une analyse de menace visant à documenter une campagne d’espionnage en cours, ses vulnérabilités exploitées, ses indicateurs techniques et sa portée géographique, afin d’informer la communauté sécurité.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de vulnérabilités Nth day sur ASUS WRT (notamment injections de commandes OS)’, ‘Ciblage d’AiCloud comme accès initial’, ‘Infections multi-étapes’, ‘Compromission potentielle du panneau d’administration’, “Utilisation d’infrastructure ORB pour masquer et relayer les opérations”]

IOC

[‘Certificat TLS auto-signé commun avec validité de 100 ans’, ‘>50 000 IP de routeurs compromis’]

🔗 Source originale : https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/