Uma sofisticada campanha cibernética conhecida como Operação WrtHug sequestrou dezenas de milhares de roteadores ASUS WRT em todo o mundo, transformando-os em potenciais ferramentas de espionagem para supostos hackers ligados à China.
A equipe STRIKE da SecurityScorecard, em colaboração com a ASUS, revelou a operação em 18 de novembro de 2025, destacando como os invasores exploraram firmware desatualizado para construir uma infraestrutura de rede furtiva.
Esta violação sublinha a ameaça crescente aos dispositivos de consumo em fim de vida, com infecções concentradas em Taiwan e espalhando-se para os EUA, Rússia e Sudeste Asiático.
Os pesquisadores detectaram pela primeira vez a Operação WrtHug por meio de um certificado TLS autoassinado suspeito compartilhado entre dispositivos comprometidos, apresentando uma data de expiração incomumente longa de 100 anos a partir de abril de 2022.
Certificado SSL maliciosu
Este certificado, com impressão digital SHA1 1894a6800dff523894eba7f31cea8d05d51032b4, apareceu em 99% dos serviços ASUS AiCloud afetados, um recurso destinado ao acesso remoto à rede doméstica, mas agora explorado como um ponto de entrada.
Login do roteador
A campanha visa exclusivamente modelos ASUS WRT, muitos dos quais estão em fim de vida e sem correção, permitindo que invasores injetem comandos e obtenham privilégios de root sem alterar a aparência externa do dispositivo.
A escala da operação é alarmante, com estimativas de 50 mil endereços IP únicos envolvidos nos últimos seis meses, com base em verificações e ferramentas proprietárias como o Driftnet.
Mapa de calor
Ao contrário das botnets aleatórias, o WrtHug mostra um foco geográfico deliberado, infectando 30-50% dos dispositivos em Taiwan, um padrão que se alinha com as tensões geopolíticas. Clusters mais pequenos atingiram a Coreia do Sul, o Japão, Hong Kong, a Europa Central e os EUA, mas a China continental permanece praticamente intocada, com exceção de Hong Kong.
Vulnerabilidades exploradas
Os invasores encadearam seis falhas conhecidas no firmware da ASUS para propagar o malware, concentrando-se em explorações de N dias em vetores de injeção de sistema operacional e AiCloud, disse SecurityScorecard à CybersecurityNews.
Essas vulnerabilidades, todas corrigidas pela ASUS, afetam principalmente roteadores desatualizados que executam servidores web lighttpd ou Apache.
A tabela abaixo detalha os principais CVEs, seus impactos e pré-requisitos:
CVE IDAProdutos afetadosImpactExploit PrerequisitesCVSS ScoreCVE-2023-41345Roteadores ASUS WRTInjeção de comando SOAcesso autenticado, falha no módulo de token8.8CVE-2023-41346Roteadores ASUS WRTInjeção de comando SOAcesso autenticado, falha no módulo de token8.8CVE-2023-41347Roteadores ASUS WRTComando SO injeçãoAcesso autenticado, falha no módulo de token8.8CVE-2023-41348Roteadores ASUS WRTInjeção de comando do SOAcesso autenticado, falha no módulo de token8.8CVE-2024-12912Roteadores ASUS WRTExecução de comando arbitrárioAcesso remoto via AiCloud7.2CVE-2025-2492Roteadores ASUS WRTExecução de função não autorizadaControle de autenticação inadequado9.2
Essas falhas estão vinculadas ao CVE-2023-39780, um bug de injeção de comando vinculado à campanha anterior do AyySSHush, sugerindo uma possível sobreposição de atores. Sete IPs mostram duplo compromisso, sugerindo esforços coordenados.
STRIKE avalia a confiança baixa a moderada de que os atores do China Nexus conduzem o WrtHug, refletindo táticas em ORBs como LapDogs e PolarEdge. O foco em Taiwan e na persistência de roteadores via backdoors SSH aponta para a construção de infraestrutura de espionagem.
Isso se enquadra na tendência de sequestro de roteadores patrocinados pelo Estado, evoluindo de infecções de força bruta para infecções em vários estágios.
Os modelos direcionados incluem RT-AC1200HP, GT-AC5300 e DSL-AC68U, geralmente em residências ou pequenos escritórios. Embora os detalhes pós-exploração permaneçam obscuros, a configuração permite o proxy do tráfego C2 e a exfiltração de dados.
Indicadores de compromisso
O monitoramento desses IOCs pode ajudar a detectar infecções:
Tipo de indicadorValorDetalhesSHA-11894a6800dff523894eba7f31cea8d05d51032b4WrtHug Impressão digital do certificado TLSIPv446(.)132.187.85Dual-comprometido (WrtHug/AyySSHush)IPv446(.)132.187.24Dualmente comprometido (WrtHug/AyySSHush)IPv4221(.)43.126.86Dualmente comprometido (WrtHug/AyySSHush)IPv4122(.)100.210.209Dualmente comprometido (WrtHug/AyySSHush)
IPs adicionais: 59.26.66(.)44, 83.188.236(.)86, 195.234.71(.)218
A ASUS recomenda atualizações de firmware e desativação de recursos não utilizados, como AiCloud, em dispositivos suportados. Para modelos EoL, a substituição é recomendada, juntamente com a segmentação de rede e o monitoramento de certificados TLS.
As organizações devem procurar o certificado IOC e aplicar os patches de catálogo explorados conhecidos da CISA.
À medida que os ataques a routers aumentam em 2025, este incidente destaca a necessidade de uma segurança vigilante do SOHO para impedir a investigação por parte do Estado-nação. O SecurityScorecard pede a colaboração da indústria para combater essas ameaças calculadas.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
