Sommario
Una campagna sofisticata ha compromesso quasi 9.000 router ASUS esposti a Internet, come riportato da GreyNoise, che ha scoperto l’attività il 18 marzo 2025. L’attacco sfrutta combinazioni di autenticazioni bypassate, una vulnerabilità nota (CVE-2023-39780) e funzionalità legittime dei dispositivi per instaurare accessi remoti permanenti, sopravvivendo a riavvii e aggiornamenti firmware. L’operazione, denominata ViciousTrap da Sekoia, suggerisce tattiche tipiche di APT e reti ORB (operational relay box), pur senza attribuzione ufficiale.
Accesso furtivo e persistenza con funzioni legittime
L’infiltrazione inizia con tentativi brute-force e bypass di autenticazione, quindi sfrutta CVE-2023-39780, un bug di injection che consente l’esecuzione remota di comandi. Gli aggressori abilitano poi SSH su porta TCP/53282 tramite le impostazioni ufficiali del router, e inseriscono una chiave pubblica nel file authorized_keys. L’intera configurazione viene scritta nella memoria NVRAM, rendendola immune a reboot e aggiornamenti.
Assenza di malware e disattivazione dei log
Per evitare il rilevamento, i log di sistema vengono disabilitati prima di stabilire la persistenza. Non vengono lasciati eseguibili o processi attivi, rendendo l’intero attacco invisibile alle difese tradizionali. Solo grazie a Sift, il sistema di analisi di rete potenziato da AI di GreyNoise, è stato possibile rilevare tre HTTP POST sospetti che hanno condotto alla scoperta.
Catena d’attacco confermata
- Accesso iniziale: brute-force e due tecniche di bypass non CVE.
- Esecuzione comandi: exploit CVE-2023-39780.
- Persistenza: configurazione SSH e chiavi pubbliche.
- Stealth: log disattivati e nessuna installazione malware.
Portata dell’attacco e visibilità limitata
Secondo scansioni di Censys, al 27 maggio i dispositivi compromessi sono circa 8.900. Nonostante la portata, solo 30 richieste correlate sono state viste in tre mesi, a dimostrazione della discrezione operativa della campagna. I router compromessi mostrano esposizione del servizio SSH sulla porta 53282.
Indicatori di compromissione
- IP: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237
- Porta remota: TCP/53282
- Chiave SSH pubblica non firmata (parziale):
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsx...
ASUS ha rilasciato patch, ma la backdoor resta
La patch per CVE-2023-39780 è stata rilasciata da ASUS, così come correttivi per i bypass iniziali, che tuttavia non hanno CVE ufficiali. Tuttavia, le modifiche alle impostazioni SSH non vengono annullate dagli aggiornamenti firmware. Se il router è stato compromesso prima della patch, l’accesso persistente rimane attivo.
Raccomandazioni operative
Le organizzazioni devono verificare la presenza del servizio SSH sulla porta TCP/53282, esaminare il file authorized_keys per voci sospette, bloccare gli IP noti coinvolti e, in caso di dubbio, eseguire un reset completo del router seguito da riconfigurazione manuale.
Questa campagna rivela un livello di tradecraft avanzato e un’attenzione al mascheramento tipica delle operazioni APT. L’uso di funzioni native per ottenere persistenza, unito all’assenza di codice eseguibile anomalo, rende le difese tradizionali inefficaci. Solo strumenti di ispezione comportamentale su larga scala, come la rete globale di GreyNoise, possono rilevare questo tipo di minacce in modo tempestivo.
