Hakerska operacja WrtHug na routery ASUS. Sprawdź, czy Twój domowy router został przejęty przez hakerów

Większość traktuje domowy router jako urządzenie typu "skonfiguruj i zapomnij". Tymczasem ten niepozorny kawałek plastiku, stojący gdzieś na półce w przedpokoju, jest pierwszą linią obrony naszej cyfrowej prywatności. Niestety, najnowsze doniesienia wskazują, że ta linia została właśnie przełamana na niespotykaną wcześniej skalę. Wykryto nową, wyrafinowaną kampanię wymierzoną w popularny sprzęt sieciowy, która zamienia domowe urządzenia w posłuszne zombie.

Kampania hakerska WrtHug pokazuje, że niezałatane luki w starszych routerach mogą stać się trwałą infrastrukturą szpiegowską, jeśli producent, użytkownik i społeczność nie zamkną ich.

Badacze odkryli Landfall, czyli komercyjny spyware atakujący smartfony Samsung Galaxy przez pliki DNG w WhatsApp

Zespół STRIKE z firmy SecurityScorecard wykrył kampanię o kryptonimie "Operacja WrtHug", która przejęła kontrolę nad ponad 50 tys. routerów ASUS na całym świecie. Hakerzy wykorzystali sześć znanych luk bezpieczeństwa, w tym CVE-2023-39780, CVE-2024-12912 oraz krytyczną CVE-2025-2492 o współczynniku CVSS 9.2. Wszystkie podatności zostały już załatane przez producenta, ale atak koncentruje się na modelach routerów z serii WRT, które nie otrzymują już aktualizacji firmware'u. Najważniejszym wskaźnikiem przejęcia kontroli jest nietypowy certyfikat TLS z własnym podpisem, który hakerzy zainstalowali na atakowanych urządzeniach. Ma on niezwykły okres ważności, wynoszący 100 lat od kwietnia 2022 roku. W normalnych warunkach każdy router ASUS generuje unikalny certyfikat lokalnie, ale wszystkie zainfekowane urządzenia dzielą identyczny certyfikat z odciskiem SHA-1: 1894a6800dff523894eba7f31cea8d05d51032b4. To jak gdyby włamywacz zostawił wizytówkę w każdym odwiedzonym domu. Analiza geograficzna ujawnia wyraźne wzorce targetowania, gdyż 30-50 proc. zhackowanych routerów zlokalizowano na Tajwanie, z mniejszymi klastrami w Korei Południowej, Japonii, Rosji, Stanach Zjednoczonych i Europie Środkowej. Co znaczące, na kontynentalnych Chinach nie wykryto ani jednego zainfekowanego urządzenia poza Hongkongiem. Badacze z SecurityScorecard oceniają z umiarkowanym prawdopodobieństwem, że za operacją stoi nieznana grupa związana z chińskim rządem. Mapa poniżej odzwierciedla ilość przejętych urządzeń na danym terenie.

Północnokoreańscy hakerzy wykorzystują EtherHiding, ukrywanie malware w smart kontraktach Ethereum i BNB Smart Chain

Technika ataku skupia się na wykorzystaniu usługi AiCloud, czyli autorskiego rozwiązania ASUSA do zdalnego dostępu do domowych zasobów. Wstrzyknięcie kodu do systemu operacyjnego routera daje atakującym uprawnienia poziomu root, pozwalając przekształcić urządzenia w węzły sieci ORB (Operational Relay Box). Wykorzystanie tego systemu pojawia się regularnie od kilkunastu lat. Podobnie jak w przypadku kampanii AyySSHush opisywanej przez nas w maju 2025 roku, operacja WrtHug wykorzystuje CVE-2023-39780, jednak współdzieli zaledwie siedem zainfekowanych adresów IP z tamtą akcją. To sugeruje albo ewolucję jednej kampanii, albo koordynację między dwoma odrębnymi grupami. Dla użytkowników końcowych oznacza to realną groźbę. Przejęte routery mogą być wykorzystywane do maskowania ataków na inne cele, przechwytywania ruchu sieciowego lub jako punkty przejściowe dla działań szpiegowskich. ASUS oficjalnie załatał wszystkie wykorzystywane luki, ale właściciele starszych, wycofanych ze wsparcia modeli pozostają bez ochrony. Dla przeciętnego użytkownika kampania WrtHug niesie podwójne zagrożenie. Po pierwsze, przejęty router może służyć jako punkt wyjściowy dla ataków na inne cele, narażając właściciela na odpowiedzialność prawną. Po drugie, atakujący z uprawnieniami administracyjnymi mogą przechwytywać ruch sieciowy, włącznie z danymi logowania i finansowymi. Najważniejszym pytaniem jest, jak sprawdzić, czy własne urządzenie jest zainfekowane? Fachowcy zalecają weryfikację certyfikatu TLS prezentowanego przez usługę AiCloud, jak również sprawdzenie, czy router nie nasłuchuje na nietypowych portach. Poniżej znajduje się lista modeli routerów ASUS atakowanych w operacji WrtHug:

• ASUS Wireless Router 4G-AC55U
• ASUS Wireless Router 4G-AC860U
• ASUS Wireless Router DSL-AC68U
• ASUS Wireless Router GT-AC5300
• ASUS Wireless Router GT-AX11000
• ASUS Wireless Router RT-AC1200HP
• ASUS Wireless Router RT-AC1300GPLUS
• ASUS Wireless Router RT-AC1300UHP

Miliony routerów i switchy Cisco zagrożonych przez aktywnie wykorzystywaną lukę zero-day CVE-2025-20352 w protokole SNMP

Operacja WrtHug nie jest odosobniona, gdyż zapewne jest częścią szerszego trendu chińskich kampanii ORB. SecurityScorecard we wcześniejszym raporcie o sieci LapDogs ujawniła podobną taktykę wykorzystującą urządzenia Ruckus Wireless. Francuskie służby już w 2021 roku ostrzegały przed masywną kampanią grupy APT31 wykorzystującej zhackowane routery. Jednak WrtHug wyróżnia się laserową precyzją. Atakuje wyłącznie urządzenia ASUS, podczas gdy inne kampanie były bardziej oportunistyczne. Firma SEKOIA opisała w maju 2025 roku operację ViciousTrap, która również celowała w routery ASUS, ale z odmiennym modus operandi. Kampania WrtHug sygnalizuje niepokojący trend. Państwowe grupy hakerskie systematycznie budują globalne sieci infrastruktury proxy z domowych routerów. W przeciwieństwie do klasycznych botnetów wykorzystywanych do ataków DDoS, sieci ORB służą do długoterminowego szpiegostwa i maskowania tożsamości atakujących. Fakt, że hakerzy nie łatają wykorzystywanych luk po przejęciu sugeruje albo pewność siebie, albo koordynację między wieloma grupami dzielącymi dostęp do tej samej infrastruktury. Dla branży bezpieczeństwa to wyzwanie. Tradycyjne metody wykrywania zawodzą, gdy atakujący wykorzystują legalne funkcje urządzeń. Sytuacja stawia trudne pytania przed producentami sprzętu. ASUS nie ma możliwości wymuszenia aktualizacji na wycofanych modelach, a użytkownicy rzadko wymieniają routery. To tworzy rosnącą populację podatnych urządzeń, czyli cyfrowych zombie, które mogą być wykorzystywane przez lata. Jedynym skutecznym rozwiązaniem dla posiadaczy zagrożonych modeli jest całkowity reset do ustawień fabrycznych lub wymiana sprzętu na nowszy, wspierany model.