Campanha WrtHug ataca milhares de roteadores ASUS fora de suporte
19 de Novembro de 2025

Milhares de roteadores ASUS WRT, especialmente modelos desatualizados ou fora de suporte, foram sequestrados em uma campanha global denominada Operation WrtHug, que explora seis vulnerabilidades distintas.

Nos últimos seis meses, scanners que identificam dispositivos afetados pela Operation WrtHug detectaram cerca de 50 mil endereços IP únicos ao redor do mundo.

A maioria dos dispositivos comprometidos está em Taiwan, com outros casos distribuídos pelo Sudeste Asiático, Rússia, Europa Central e Estados Unidos.

Curiosamente, não foram registradas infecções na China, o que pode indicar que o grupo por trás da ameaça seja deste país, embora os pesquisadores não tenham encontrado evidências suficientes para uma atribuição definitiva.

Segundo o time STRIKE da SecurityScorecard, o padrão de alvos e as técnicas empregadas sugerem uma possível ligação entre a Operation WrtHug e a campanha AyySSHush, inicialmente documentada pela GreyNoise em maio.

Os ataques exploram vulnerabilidades de command injection e outras falhas conhecidas em roteadores ASUS WRT, principalmente nas séries AC e AX.

Os pesquisadores destacam que a campanha WrtHug pode se aproveitar das seguintes vulnerabilidades para realizar os ataques:

- CVE-2023-41345 /46/47/48 – injeção de comandos via módulos de token
- CVE-2023-41345 ; para problemas semelhantes com o 'módulo de atualização de token', consulte CVE-2023-41346; para problemas semelhantes com o 'módulo de verificação de token', consulte CVE-2023-41347; e para problemas semelhantes com o 'módulo de autenticação de código', consulte CVE-2023-41348.

"> CVE-2023-39780 – grave falha de command injection (também usada na campanha AyySSHush)
- CVE-2024-12912 – execução arbitrária de comandos
- CVE-2025-2492 – controle inadequado de autenticação que permite execução não autorizada de funções

Dentre elas, a CVE-2025-2492 é a única com classificação crítica.

Em abril, a ASUS emitiu um alerta destacando a gravidade dessa vulnerabilidade, que pode ser explorada por meio de uma requisição especialmente elaborada em roteadores com o recurso AiCloud ativado.

Em relatório recente, a SecurityScorecard aponta que “os atacantes aparentemente exploraram o serviço ASUS AiCloud para implantar um conjunto global de intrusão direcionada”.

Um indicador importante da campanha é a presença de um certificado TLS autoassinado nos serviços AiCloud, que substitui o certificado padrão da ASUS em 99% dos dispositivos comprometidos.

Esse novo certificado chama atenção por ter validade de 100 anos, enquanto o original tem duração de 10 anos.

Os pesquisadores do STRIKE usaram esse certificado exclusivo para identificar os 50 mil IPs infectados.

Assim como na campanha AyySSHush, os invasores não atualizam o firmware dos dispositivos comprometidos, mantendo-os vulneráveis a novos ataques de outros agentes maliciosos.

Com base nos indicadores de comprometimento, os roteadores ASUS mais visados pela Operation WrtHug são:

- ASUS Wireless Router 4G-AC55U
- ASUS Wireless Router 4G-AC860U
- ASUS Wireless Router DSL-AC68U
- ASUS Wireless Router GT-AC5300
- ASUS Wireless Router GT-AX11000
- ASUS Wireless Router RT-AC1200HP
- ASUS Wireless Router RT-AC1300GPLUS
- ASUS Wireless Router RT-AC1300UHP

O time STRIKE acredita que esses roteadores comprometidos possam estar sendo usados como relay boxes operacionais (ORB) para operações de hackers chineses, funcionando como nós relays furtivos para proxy e ocultação da infraestrutura de comando e controle.

No entanto, o relatório não traz detalhes aprofundados sobre as atividades após a invasão.

A ASUS já disponibilizou atualizações de segurança que corrigem todas as vulnerabilidades exploradas na campanha WrtHug.

Por isso, é fundamental que os proprietários atualizem o firmware para a versão mais recente.

Para dispositivos fora de suporte, a recomendação é substituí-los ou, pelo menos, desabilitar as funções de acesso remoto.

Além disso, a ASUS corrigiu recentemente a CVE-2025-59367 , uma falha de bypass de autenticação que afeta vários modelos da série AC.

Embora ainda não tenha sido explorada em ataques, há risco de ser incorporada ao arsenal dos invasores em breve.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...