Tu router trabaja para la inteligencia china. ¿De verdad pensabas que solo acumulaba polvo en el pasillo?

Una infección masiva de enrutadores ASUS obsoletos se convirtió en el eje de una nueva campaña sigilosa que se desarrolló discretamente durante medio año y afectó a decenas de miles de dispositivos en todo el mundo. Bajo ataque quedaron routers que llevan tiempo sin soporte, lo que los convirtió en objetivos convenientes para actores que construyen una infraestructura distribuida a partir de dispositivos de red olvidados.

El equipo STRIKE de SecurityScorecard denominó esta actividad operación WrtHug. El mayor número de dispositivos infectados se registró en Taiwán, en Estados Unidos y en Rusia, aunque también hay indicios en otros países de Asia Oriental y de Europa. Según los especialistas, en total se identificaron más de 50.000 direcciones IP únicas pertenecientes a enrutadores comprometidos, agrupadas en una sola red.

El análisis mostró que estos dispositivos usan el mismo certificado TLS autofirmado con un periodo de validez inusual: cien años, contados desde abril de 2022. Casi todos los servicios que muestran ese certificado corresponden a la función propietaria AiCloud, que permite la conexión remota a almacenamientos locales.

Las intrusiones se producen mediante la explotación de seis vulnerabilidades en la serie ASUS WRT, que lleva tiempo sin recibir actualizaciones. A través de esas brechas se logra obtener acceso con privilegios y asentarse en el sistema, lo que abre la vía para el control remoto. Los especialistas señalan que la naturaleza de las acciones recuerda a la táctica de las redes ORB, que anteriormente se vincularon con agrupaciones de China.

Aunque la campaña actual no coincide completamente con el escenario clásico de ORB, el conjunto de indicios apunta a una lógica común de construcción de infraestructura y a objetivos similares. Resulta de interés adicional que una de las vulnerabilidades, CVE-2023-39780, fue utilizada anteriormente por otra estructura de botnet de origen chino llamada AyySSHush, también conocida como ViciousTrap.

El cruce se detectó también a nivel de nodos infectados: siete direcciones IP muestran signos de impacto tanto de WrtHug como de AyySSHush. No hay pruebas directas que vinculen ambas campañas, pero la coincidencia en los vectores de ataque deja abierta la posibilidad de un origen común o del intercambio de herramientas en el mismo ecosistema. Completan el cuadro otras estructuras asociadas a ORB, como LapDogs y PolarEdge, que en los últimos meses también atacaron enrutadores.

Bajo ataque se encontraron varios modelos, incluidos 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS y RT-AC1300UHP. Todos ellos pertenecen a dispositivos que ya no reciben soporte técnico, lo que los hace especialmente vulnerables ante nuevos métodos de intrusión.

La fuente del ataque aún no se ha establecido; no obstante, la marcada atención de los atacantes hacia Taiwán, así como la similitud de los métodos con operaciones anteriores relacionadas con grupos chinos, sugieren la posible implicación de un actor desconocido que actúa en interés de una estructura de esa región. Los autores del informe subrayan que las infecciones masivas de dispositivos de red se están convirtiendo en una tendencia cada vez más visible y que los atacantes que operan en este ámbito actúan de forma deliberada y buscan ampliar su presencia más allá de las redes locales.

La intrusión se logra mediante la combinación sucesiva de manipulaciones de comandos y la elusión de comprobaciones de autenticidad. Esto permite implantar mecanismos persistentes de acceso remoto a través de SSH que siguen funcionando incluso después de reiniciar el equipo o actualizar el firmware. Así, cada punto de acceso vulnerable se convierte en un pilar duradero para la construcción de una estructura distribuida apta para operaciones futuras.