- 数千台の期限切れASUSルーターが「Operation WrtHug」サイバースパイボットネットに乗っ取られる
- 中国の国家支援アクターが複数のn-day脆弱性を悪用し、100年有効のTLS証明書を使用
- 侵害されたルーターはリレーネットワークを形成、主に台湾と東南アジアで発生
数千台の期限切れASUS製ルーターが乗っ取られ、サイバースパイ活動のインフラとして使われるボットネットに組み込まれていると、専門家が警告しています。
セキュリティ研究者のSecurityScorecardとAsusは、この悪質なキャンペーンを発見・報告し、中国の国家支援型脅威アクターのグループが複数のASUSルーターの脆弱性を利用し、独自の自己署名証明書を展開していると主張しています。
悪用されている脆弱性には、CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2024-12912、CVE-2025-2492が含まれます。これらはすべてn-day脆弱性で、比較的長期間存在していました。しかし、対象となったエンドポイントがサポート終了を迎えていたため、ほとんどがアップデートを受けておらず、ユーザーによるパッチも適用されていませんでした。
中国の活動
ボットネットに組み込まれているモデルの一覧は以下の通りです:
4G-AC55U
4G-AC860U
DSL-AC68U
GT-AC5300
GT-AX11000
RT-AC1200HP
RT-AC1300GPLUS
RT-AC1300UHP
報告によると、乗っ取られたルーターの数は「数千台」に上ります。すべてが100年有効の独自自己署名TLS証明書を共有しています。
「この異常に長期間有効な証明書は、侵害の重要な指標であり、慎重かつ計画的なスパイ活動を示す調整のレベルを示しています」と研究者は述べています。
感染したルーターは、中国関連のOperational Relay Box(ORB)キャンペーンに似た大規模な運用リレーネットワークの一部となります。
ルーターはノードとなり、アクターが自らのスパイトラフィックを無関係な人々のルーター経由でルーティングし、侵入時に本当の発信元を隠し、耐障害性のあるグローバル分散型C2インフラを構築し、最終的には高価値の地政学的ターゲットへの攻撃を仕掛けることができます。
侵害されたルーターの大多数は台湾と東南アジアに位置しており、これは中国の国家的利益と完全に一致します。中国本土では侵害されたルーターは発見されていないとのことです。
このキャンペーンは、デバイスがAsusWRTというファームウェアを使用していることから「Operation WrtHug」と名付けられています。
