Специалисты по кибербезопасности из SecurityScorecard зафиксировали вредоносную операцию WrtHug, в результате которой было взломано приблизительно 50 тысяч маршрутизаторов Asus, расположенных в Тайване, США и России. Как отмечают аналитики, атакам подверглись преимущественно устаревшие устройства линеек AC и AX. Ключевым признаком заражения WrtHug служит самоподписанный сертификат в службе AiCloud, который злоумышленники установили на 99% скомпрометированных роутеров.
Эксперты SecurityScorecard выявили широкомасштабную вредоносную кампанию WrtHug, в ходе которой по всему миру было атаковано около 50 тысяч роутеров Asus; подробности кибератаки описаны в их отчете на сайте компании. В основе атак лежит эксплуатация шести уязвимостей, затрагивающих в основном более старые модели серий AC и AX.
Согласно данным SecurityScorecard, наибольшее число зараженных устройств сосредоточено на Тайване. Дополнительные случаи компрометации отмечены в странах Юго-Восточной Азии, России, государствах Центральной Европы и США. На территории Китая инциденты не обнаружены. Исследователи указывают, что отсутствие активности в Китае может косвенно указывать на географическое происхождение угрозы, однако для окончательных выводов текущих данных пока недостаточно. Организациям в сфере информационной безопасности, работающим в затронутых регионах, рекомендуется усилить сетевой мониторинг и сегментацию, а также пересмотреть политики реагирования на инциденты.
В рамках кибератак были использованы шесть ИТ-уязвимостей. Кампания WrtHug во многом напоминает операцию AyySSHush, задокументированную аналитиками GreyNoise в мае 2025 года. Атаки начинаются с эксплуатации уязвимостей, позволяющих внедрять команды, и других известных проблем: CVE-2023-41345–CVE-2023-41348 — инъекции команд ОС через модули токенов; CVE-2023-39780 — инъекция команд (использовалась в AyySSHush); CVE-2024-12912 — выполнение произвольных команд; CVE-2025-2492 — обход аутентификации в роутерах с активированной функцией AiCloud (критическая уязвимость).
По информации SecurityScorecard, именно функция облачного удаленного доступа AiCloud, встроенная во многие маршрутизаторы Asus и превращающая их в частные облачные серверы, стала основным вектором атаки через уязвимость CVE-2025-2492, позволяющую обойти аутентификацию. Эта функция, обеспечивающая удаленный доступ к устройству, и послужила главной точкой входа для злоумышленников. Основным индикатором компрометации является наличие в AiCloud самоподписанного TLS-сертификата со сроком действия в 100 лет. Атакующие эксплуатируют шесть уязвимостей, затрагивающих в основном устаревшие модели серий AC и AX. Именно по этому признаку и было идентифицировано около 50 тысяч зараженных устройств.
Эксперты сообщают о перечне моделей маршрутизаторов Asus, которые оказались под ударом: Asus Wireless Router 4G-AC55U; Asus Wireless Router 4G-AC860U; Asus Wireless Router DSL-AC68U; Asus Wireless Router GT-AC5300; Asus Wireless Router GT-AX11000; Asus Wireless Router RT-AC1200HP; Asus Wireless Router RT-AC1300GPLUS; Asus Wireless Router RT-AC1300UHP.
Аналитики SecurityScorecard в сфере кибербезопасности предполагают, что взломанные роутеры способны служить прокси для маскировки действий злонамеренных акторов. В то же время, в материалах исследования отсутствуют детали о характере данных, которые могли передаваться через эти устройства.
20 ноября 2025 года вендор уже предоставил обновления, закрывающие все задействованные уязвимости. Пользователям роутеров Asus советуют установить актуальную версию прошивки, а для моделей, более не получающих поддержку, — деактивировать опции удаленного управления или рассмотреть замену гаджета.
Согласно информации от Asus, в ноябре 2025 года производитель устранил критическую уязвимость обхода проверки подлинности CVE-2025-59367, затрагивающую роутеры DSL-AC51, DSL-N16 и DSL-AC750. Пока этой брешью не пользуются злоумышленники, однако специалисты по информационной безопасности не исключают, что в ближайшее время она может стать частью их инструментария.
