Lebih dari 9.000 router ASUS dikompromikan oleh botnet baru yang dijuluki “Ayysshush” yang juga diamati menargetkan router SOHO dari Cisco, D-Link, dan Linksys.
Kampanye itu Ditemukan oleh Greynoise Peneliti keamanan pada pertengahan Maret 2025, yang melaporkan bahwa ia membawa ciri khas aktor ancaman negara-bangsa, meskipun tidak ada atribusi konkret yang dibuat.
Perusahaan pemantauan ancaman melaporkan bahwa serangan tersebut menggabungkan kredensial login yang memukau, melewati otentikasi, dan mengeksploitasi kerentanan yang lebih tua untuk mengkompromikan router ASUS, termasuk model RT-AC3100, RT-AC3200, dan RT-AX55.
Sumber: Greynoise
Secara khusus, para penyerang mengeksploitasi cacat injeksi komando lama yang dilacak sebagai CVE-2023-39780 Untuk menambahkan kunci publik SSH mereka sendiri dan mengaktifkan daemon ssh untuk mendengarkan di port TCP non-standar 53282. Modifikasi ini memungkinkan aktor ancaman untuk mempertahankan akses backdoor ke perangkat bahkan antara reboot dan pembaruan firmware.
“Karena kunci ini ditambahkan menggunakan fitur ASUS resmi, perubahan konfigurasi ini bertahan di seluruh peningkatan firmware,” jelas yang lain Laporan Terkait oleh Greynoise.
“Jika Anda telah dieksploitasi sebelumnya, meningkatkan firmware Anda akan BUKAN Lepaskan pintu belakang SSH. “
Serangan itu sangat tersembunyi, tidak melibatkan malware, sementara para penyerang juga mematikan penebangan dan tren perlindungan mikro untuk menghindari deteksi.
Secara khas, Greynoise melaporkan hanya mencatat 30 permintaan berbahaya yang terkait dengan kampanye ini selama tiga bulan terakhir, meskipun 9.000 router ASUS telah terinfeksi.
.jpg)
Sumber: Greynoise
Namun, tiga dari permintaan itu cukup untuk memicu alat analisis bertenaga AI Greynoise yang menandai mereka untuk inspeksi manusia.
Kampanye ini kemungkinan tumpang tindih dengan kegiatan sekoia melacak sebagai “Perangkap ganas“Diungkapkan minggu lalu, meskipun perusahaan cybersecurity Prancis melaporkan bahwa aktor ancaman memanfaatkan CVE-2021-32030 untuk melanggar router ASUS.
Dalam kampanye yang dilihat oleh Sekoia, para aktor ancaman diamati menargetkan router SOHO, VPN SSL, DVR, dan pengontrol BMC dari jaringan D-Link, Linksys, QNAP, dan Araknis.
Tujuan operasional yang tepat dari Ayysshush masih belum jelas, karena tidak ada tanda -tanda penolakan yang didistribusikan (DDOS) atau menggunakan perangkat untuk proksi lalu lintas berbahaya melalui router ASUS.
Namun, dalam pelanggaran router yang diamati oleh Sekoia, skrip jahat diunduh dan dieksekusi untuk mengarahkan kembali lalu lintas jaringan dari sistem yang dikompromikan ke perangkat pihak ketiga yang dikendalikan oleh penyerang.
Saat ini, tampaknya kampanye dengan tenang membangun jaringan router backdoored untuk membuat dasar untuk botnet di masa depan.
Lindungi router ASUS Anda
Asus telah merilis pembaruan keamanan yang membahas CVE-2023-39780 untuk router yang terkena dampak, meskipun waktu ketersediaan yang tepat bervariasi per model.
Pengguna disarankan untuk meningkatkan firmware mereka sesegera mungkin dan mencari file yang mencurigakan dan penambahan kunci SSH penyerang (IOC di sini) pada file ‘otorisasi_keys’.
Juga, Greynoise mencantumkan empat alamat IP yang terkait dengan aktivitas ini, yang harus ditambahkan ke daftar blok.
101.99.91[.]151 101.99.94[.]173 79.141.163[.]179 111.90.146[.]237
Jika tersangka kompromi, reset pabrik disarankan untuk membersihkan router tanpa keraguan dan kemudian mengkonfigurasi ulang dari awal menggunakan kata sandi yang kuat.
