【安全圈】華碩 WRT 路由器漏洞被利用，劫持全球數萬臺淘汰設備

關鍵詞

漏洞

一項新發現的網絡攻擊活動已攻陷全球數萬臺過時或已停止支持（EoL）的華碩路由器，受影響設備主要集中在臺灣地區、美國和俄羅斯，進而被納入一個大型網絡。

該路由器劫持活動被 SecurityScorecard 的 STRIKE 團隊命名為 “WrtHug 行動”。東南亞及歐洲部分國家也出現感染案例，過去六個月內，全球已識別出超過 5 萬個屬于受 compromised 設備的獨立 IP 地址。

攻擊活動疑似利用已停止支持的華碩 WRT 路由器中的六個已知安全漏洞，獲取易受攻擊設備的控制權。所有受感染路由器均共享一個獨特的自簽名 TLS 證書，該證書有效期設定為自 2022 年 4 月起 100 年。

SecurityScorecard 表示，展示該證書的服務中，99% 是華碩 AiCloud 服務 —— 這是一項專有服務，旨在允許用戶通過互聯網訪問本地存儲。

攻擊技術細節與關聯威脅

該公司在提交給《黑客新聞》的報告中稱：“攻擊者利用專有 AiCloud 服務及已知漏洞（n-day 漏洞），在已停止支持的華碩 WRT 路由器上獲取高權限。” 報告還指出，盡管此次活動并非典型的 “操作中繼箱（ORB）”，但與其他關聯中國的 ORB 網絡及僵尸網絡存在相似之處。

攻擊疑似利用多個漏洞進行擴散，包括 CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912 及 CVE-2025-2492。近幾個月來，另外兩個針對路由器的 ORB 網絡分別是 LapDogs 和 PolarEdge。

在所有受感染設備中，有七個 IP 地址同時表現出 WrtHug 和 AyySSHush 的入侵特征，這可能意味著兩個攻擊集群存在關聯。不過，除共享同一漏洞外，目前尚無其他證據支持這一假設。

此次攻擊針對的路由器型號如下：

• 華碩無線路由器 4G-AC55U

• 華碩無線路由器 4G-AC860U

• 華碩無線路由器 DSL-AC68U

• 華碩無線路由器 GT-AC5300

• 華碩無線路由器 GT-AX11000

• 華碩無線路由器 RT-AC1200HP

• 華碩無線路由器 RT-AC1300GPLUS

• 華碩無線路由器 RT-AC1300UHP

• CIS 定制套件

目前攻擊方身份尚不明確，但活動對臺灣地區的重點針對，以及與中國黑客組織此前 ORB 攻擊戰術的重疊，表明幕后可能是某個未知的關聯中國的行為體。

SecurityScorecard 表示：“本研究凸顯了惡意威脅行為體大規模感染路由器及其他網絡設備的趨勢日益明顯。這些行為體通常（但不限于）與中國相關，他們以謹慎且精心策劃的方式開展活動，以擴大和深化其全球影響力。”

“威脅行為體通過串聯命令注入和身份驗證繞過漏洞，成功通過 SSH 部署持久化后門，還經常濫用路由器的合法功能，確保其控制在設備重啟或固件更新后仍能存續。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！