SecurityScorecardのSTRIKEチームが本日発表した調査結果によると、約50,000台のASUSルーターが高度な攻撃によって侵害されており、この攻撃は中国に関連している可能性があると考えられています。
「Operation WrtHug」と名付けられたこのキャンペーンは、サポート終了となったASUS WRTルーターのみを標的とし、2023年に遡るものも含む複数の既知の脆弱性を悪用しています。影響を受けたルーターは主に台湾と東南アジアに集中しており、中国本土、ロシア、米国への影響は最小限です。
攻撃者は以下を含む6つのセキュリティ脆弱性を悪用しています:
- 2023年の重大度の高いコマンドインジェクション脆弱性4件(CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348)— いずれも8.8と評価
- CVE-2024-12912(7.2)
- CVE-2025-2492(9.2)
2023年の脆弱性は、CISAの既知の悪用脆弱性カタログに2月に追加された、もう一つのコマンドインジェクション脆弱性CVE-2023-39780と関連しており、以前にはGreyNoiseが明らかにした5月に8,000台以上のASUSルーターが侵害されたAyySSHushオペレーショナルリレーボックス(ORB)キャンペーンでも使用されていました。
GreyNoiseのデータサイエンス担当副社長Bob Rudis氏は当時、この攻撃には「高度で十分な資源を持つ敵対者」の特徴がすべて見られると述べ、「台風の一つ」— 中国の国家支援サイバースパイ集団—が背後にいる可能性を示唆しました。
STRIKEの研究者によると、攻撃者が同一のエクスプロイトを使用し、同じサポート終了デバイスを標的としているにもかかわらず、両キャンペーンで侵害されたデバイスはわずか7台しか確認されていません。
「このことから、WrtHugとAyySSHushは単一の進化中のキャンペーン、または同一のアクターによる2つの別個のキャンペーンである可能性があると推測しています」とチームのレポートは述べています。「または、連携したアクターによる2つのキャンペーンである可能性もあります。」
「現時点では、これらの推測を裏付けるには共通の脆弱性以外に十分な証拠がありません。今後も証拠が得られるまで、Operation WrtHugを別個のキャンペーンとして追跡し続けます。」
確認された侵害の大部分は台湾と東南アジアに集中しており、中国が攻撃の背後にいるという見方を強めています。STRIKEによれば、中国本土(香港を除く)では確認されておらず、中欧、ロシア、米国への影響もごくわずかです。
「中国の高度持続的脅威(APT)アクターによる過去のORBキャンペーンで見られたTTPとの顕著な一致や、キャンペーンの地理的な焦点から、Operation WrtHugは正体不明の中国系アクターによるORB促進キャンペーンであると、低〜中程度の確信度で評価しています」とレポートは述べています。
ORBはボットネットとは異なり、よりステルス性の高いスパイ活動を可能にし、データ窃取などのタスクを支援するためにネットワークトラフィックを隠蔽します。ボットネットはしばしばDDoSのような大規模かつ目立つ攻撃と関連付けられます。
最も明確な感染の指標は、デバイスのAiCloudサービスにおける異常な自己署名TLS証明書です。侵害されたルーターは、2022年4月から100年の有効期限を持つ同一の証明書を共有しています。
「これは単一のTLS証明書としては非常に長く、珍しい有効期間です」とSTRIKEのレポートは指摘しています。
レポートには脅威ハンティング向けの侵害指標がさらに詳しく記載されていますが、最善の対策は単純に脆弱性を修正するか、セキュリティアップデートが提供されているルーターにアップグレードすることです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/19/thousands_more_asus_routers_pwned/
