- Ribuan router ASUS yang kadaluarsa dibajak ke dalam botnet spionase cyber “Operation WrtHug”
- Aktor yang disponsori negara Tiongkok mengeksploitasi beberapa kelemahan dalam satu hari, menggunakan sertifikat TLS 100 tahun
- Router yang disusupi membentuk jaringan relai, sebagian besar di Taiwan dan Asia Tenggara
Ribuan ASUS kadaluwarsa router sedang dibajak dan diasimilasikan ke dalam botnet yang digunakan sebagai infrastruktur untuk operasi spionase dunia maya, para ahli telah memperingatkan.
Peneliti keamanan SecurityScorecard, bersama dengan Asus, menemukan dan melaporkan kampanye jahat tersebut, mengklaim sekelompok pelaku ancaman yang disponsori negara Tiongkok telah memanfaatkan berbagai kerentanan di sejumlah router ASUS untuk menyebarkan sertifikat unik yang ditandatangani sendiri.
Kerentanan yang disalahgunakan termasuk CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912, dan CVE-2025-2492. Ini semua adalah kelemahan n-hari, yang berarti kelemahan tersebut sudah ada sejak lama. Namun, karena titik akhir yang ditargetkan mencapai akhir masa pakainya, sebagian besar tidak pernah menerima pembaruan, atau tidak ditambal oleh penggunanya.
aktivitas Tiongkok
Berikut adalah daftar model yang diasimilasikan ke dalam botnet:
4G-AC55U
4G-AC860U
DSL-AC68U
GT-AC5300
GT-AX11000
RT-AC1200HP
RT-AC1300GPLUS
RT-AC1300UHP
Jumlah router yang dibajak dihitung “dalam ribuan”, sesuai laporan. Semuanya berbagi sertifikat TLS unik yang ditandatangani sendiri, dengan tanggal kedaluwarsa 100 tahun.
“Sertifikat yang berumur panjang ini merupakan indikator penting dari kompromi dan menunjukkan tingkat koordinasi yang mencerminkan spionase yang hati-hati dan penuh perhitungan,” kata para peneliti.
Router yang terinfeksi menjadi bagian dari jaringan relai operasional yang besar, mirip dengan kampanye Operational Relay Box (ORB) lainnya yang terkait dengan Tiongkok.
Router menjadi node yang memungkinkan para pelaku mengarahkan lalu lintas spionase mereka melalui router orang-orang yang tidak bersalah, menyembunyikan asal usul mereka yang sebenarnya ketika melakukan intrusi, membangun infrastruktur C2 yang tangguh dan terdistribusi secara global dan, pada akhirnya, melancarkan serangan terhadap target geopolitik bernilai tinggi.
Sebagian besar router yang disusupi berlokasi di Taiwan dan Asia Tenggara, yang sangat sejalan dengan kepentingan nasional Tiongkok. Tidak ada router yang disusupi yang ditemukan di daratan Tiongkok, katanya.
Kampanye ini dijuluki “Operasi WrtHug”, karena perangkat tersebut menjalankan firmware yang disebut AsusWRT.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
