Понад 9000 маршрутизаторів Asus було зламано ботнетом AyySSHush, який також атакує SOHO-роутери Cisco, D-Link і Linksys.

Цю шкідливу кампанію ще в середині березня 2025 року виявили дослідники GreyNoise. За словами експертів, ці атаки можуть бути пов’язані з якимись урядовими хакерами, хоча конкретні назви угруповань у звіті не фігурують.

За даними експертів, атаки AyySSHush поєднують у собі брутфорс для підбору облікових даних, обхід автентифікації та використання старих вразливостей для злому маршрутизаторів Asus, зокрема моделей RT-AC3100, RT-AC3200 і RT-AX55.

Зокрема, зловмисники використовують стару вразливість CVE-2023-39780, пов’язану з ін’єкціями команд, щоб додати власний публічний ключ SSH і дозволити демону SSH прослуховувати нестандартний TCP-порт 53282. Ці зміни дають змогу зловмисникам отримати бекдор-доступ до пристрою і зберегти його навіть після перезавантаження та оновлень прошивки.

При цьому GreyNoise повідомляє про виявлення всього 30 шкідливих запитів, пов’язаних із цією кампанією, за останні три місяці, тоді як ботнет уже заразив понад 9000 маршрутизаторів Asus.

Дослідники зазначають, що розробники Asus випустили патчі для вразливості CVE-2023-39780, однак їхня доступність залежить від моделі конкретного маршрутизатора.

Користувачам рекомендується якомога швидше оновити прошивку, провести перевірку на наявність підозрілих файлів, а також пошукати SSH-ключ зловмисників у файлі authorized_keys. Індикатори компрометації доступні тут.

Також експерти GreyNoise опублікували чотири IP-адреси, які пов’язані зі шкідливою активністю і мають бути внесені в чорні списки: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 і 111.90.146[.]237.

У разі виявлення компрометації роутера, рекомендується виконати скидання налаштувань пристрою до заводських, а потім повторно налаштувати його, використовуючи надійний пароль.