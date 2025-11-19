Circa 50.000 router di ASUS sono stati compromessi sfruttando un sofisticato attacco che, a detta di alcuni ricercatori, sembra avere legami con la Cina, almeno secondo quanto riferito dal team STRIKE di SecurityScorecard, azienda specializzata in sicurezza per le imprese.

Denominata Operazione WrtHug, l’attacco prende di mira router a fine vita ASUS WRT sfruttando vulnerabilità note, alcune delle quali risalgono al 2023. I router colpiti si trovano soprattutto a Taiwan e nell’Asia sudorientale, ma un impatto minimo è stato evidenziato anche nella Cina continentale, in Russia e negli Stati Uniti.

Gli attacker stanno sfruttando (qui i dettagli) sei diverse falle di sicurezza, incluse: quattro command injection bug del 2023 (vulnerabilità note nei database come CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348 con punteggio 8.8 su scala da 0 a 10) e due vulnerabilità etichettate come CVE-2024-12912 e CVE-2025-2492 con rispettivi punteggi di vulnerabilità di 7.2 e 9.2.

Le vulnerabilità del 2023 sono collegate alla CVE-2023-39780, altro comando di injection che inserisce la propria chiave pubblica SSH nell’apparato consentendo l’apertura di una backdoor, persistente anche dopo il riavvio del dispositivo o gli aggiornamenti del firmware. Quest’ultima vulnerabilità, individuata da GreyNoise (altra azienda che si occupa di sicurezza) a febbraio, è stata già sfruttata in precedenza per reinderizzare il traffico del dispositivo verso altri apparati o rendere lo stesso parte integrante di una botnet.

Bob Rudis, vice presidente responsabile data science di GreyNoise, aveva spiegato in precedenza che questo tipo di attacco presentava segni distintivi di “avanzati e ben finanziati avversari”, lasciando intendere una possibile operazione da parte di squadre cinesi specializzate in cyberspionaggio.

Molti dei nuovi attacchi sembrano concentrati su Taiwan e sudest asiatico, rafforzando l’ipotesi di legami con la Cina. Per il momento in Europa, Russia e Stati Uniti gli utenti che hanno segnalato il problema sono un numero sparuto. Tra i segni di infezione, un certificato TLS (che dovrebbe garantire comunicazioni online sicure e crittografie) sfruttato nel servizio AiCloud: nei router compromessi questo certificato scade tra 100 anni, scadenza non comune per questa tipologia di certificati.

Per tutti gli aggiornamenti sulla sicurezza informatica è possibile consultare la sezione dedicata di Macitynet.