Тихий, как тень: новый ботнет проникает в ASUS и D-Link без единого намёка на взлом

Более 9 тысяч маршрутизаторов ASUS оказались под контролем нового ботнета , получившего название AyySSHush. По данным исследователей из GreyNoise, вредоносная кампания стартовала в марте 2025 года и нацелена не только на устройства ASUS, но и на домашние маршрутизаторы Cisco, D-Link и Linksys. Основные цели — модели RT-AC3100, RT-AC3200 и RT-AX55.

Атака сочетает брутфорс логинов , обход аутентификации и использование устаревших уязвимостей. В частности, злоумышленники эксплуатируют уязвимость CVE-2023-39780 , которая позволяет им внедрить собственный SSH-ключ в конфигурацию устройства и активировать демон SSH на нестандартном порту TCP 53282. Эта настройка сохраняется даже после перезагрузки и обновления прошивки, поскольку изменения вносятся с использованием легитимных функций ASUS.

Особенность атаки — отсутствие какого-либо вредоносного ПО. Вместо этого злоумышленники отключают системное логирование и защитный функционал AiProtection от Trend Micro, тем самым сводя к минимуму вероятность обнаружения. За последние три месяца GreyNoise зафиксировала всего 30 подозрительных запросов, связанных с данной кампанией, однако, по их оценке, инфицированы уже свыше 9 тысяч маршрутизаторов ASUS.

Несмотря на масштаб заражения, характер атак остаётся скрытным. Нет признаков использования заражённых устройств в DDoS-атаках или для проксирования трафика. Однако параллельное исследование от компании Sekoia, которое касается аналогичной кампании под названием Vicious Trap , показывает, что на скомпрометированных маршрутизаторах выполнялся вредоносный скрипт, перенаправляющий сетевой трафик на инфраструктуру атакующего. Помимо ASUS, Sekoia зафиксировала атаки на VPN, DVR и BMC-контроллеры производителей D-Link, Linksys, QNAP и Araknis Networks, в том числе с использованием уязвимости CVE-2021-32030 .

Исходя из наблюдаемого поведения, AyySSHush строит основу для распределённой сети устройств с удалённым доступом, которую можно использовать в будущем. Пока же цели кампании остаются неясными.

Тем временем, ASUS выпустила обновления безопасности, устраняющие CVE-2023-39780, но сроки появления фиксов различаются для разных моделей. Владельцам маршрутизаторов рекомендуется как можно скорее обновить прошивку, проверить файл «authorized_keys» на предмет наличия посторонних записей и обратить внимание на появление подозрительных файлов.

GreyNoise также опубликовала список IP-адресов, связанных с активностью AyySSHush, и рекомендует добавить их в список блокировки: 101.99.91.151; 101.99.94.173; 79.141.163.179; 111.90.146.237.

При наличии подозрения на заражение, рекомендуется выполнить сброс маршрутизатора до заводских настроек и полностью перенастроить его, установив сложный пароль.