Специалисты по кибербезопасности из SecurityScorecard зафиксировали вредоносную операцию WrtHug, в результате которой оказались заражены приблизительно 50 тысяч маршрутизаторов Asus на территории Тайваня, США и России. Как отмечают аналитики, атакам преимущественно подверглись устаревшие устройства линеек AC и AX. Ключевым маркером поражения WrtHug выступает самоподписанный сертификат в службе AiCloud, который заменил штатный на 99% инфицированных роутеров.
Эксперты SecurityScorecard выявили масштабную вредоносную кампанию WrtHug, в ходе которой пострадало около 50 тысяч маршрутизаторов Asus в разных странах; детали кибератаки описаны в отчете на корпоративном портале. Злоумышленники использовали шесть уязвимостей, сосредоточившись главным образом на устаревших моделях серий AC и AX.
Согласно данным SecurityScorecard, наибольшее число зараженных устройств зарегистрировано в Тайване. Дополнительные случаи компрометации отмечены в государствах Юго-Восточной Азии, России, Центральной Европы и США. На территории Китая инфицированных систем не обнаружено. Исследователи подчеркивают, что отсутствие активности в Китае может указывать на географическую принадлежность угрозы, однако для окончательных выводов собранных свидетельств пока недостаточно. Организациям в сфере информационной безопасности, функционирующим в затронутых регионах, советуют усилить сетевой мониторинг и сегментацию, а также пересмотреть политики реагирования на киберинциденты.
В рамках атаки были задействованы шесть уязвимостей. WrtHug демонстрирует значительное сходство с кампанией AyySSHush, документированной аналитиками GreyNoise в мае 2025 года. Кибератаки инициируются через эксплуатацию уязвимостей, допускающих внедрение команд, и других известных проблем: CVE-2023-41345–CVE-2023-41348 — инъекции команд ОС через модули токенов; CVE-2023-39780 — инъекция команд (применялась в AyySSHush); CVE-2024-12912 — выполнение произвольных команд; CVE-2025-2492 — обход аутентификации в роутерах с активированной функцией AiCloud (критический уровень).
По информации SecurityScorecard, именно облачная функция удаленного доступа, встроенная во многие маршрутизаторы Asus и преобразующая их в частные облачные серверы, стала основным вектором атаки через уязвимость CVE-2025-2492 — обход аутентификации в устройствах с включенной службой AiCloud. Данная функциональность, обеспечивающая удаленное управление оборудованием, явилась ключевой точкой проникновения для злоумышленников. Основным индикатором компрометации служит самоподписанный TLS-сертификат в AiCloud со столетним сроком действия. Злоумышленники используют шесть уязвимостей, концентрируясь преимущественно на устаревших моделях серий AC и AX. Именно по этому признаку было идентифицировано около 50 тысяч пораженных устройств.
Эксперты сообщают о выявленных моделях маршрутизаторов Asus, оказавшихся под кибератаками: Asus Wireless Router 4G-AC55U; Asus Wireless Router 4G-AC860U; Asus Wireless Router DSL-AC68U; Asus Wireless Router GT-AC5300; Asus Wireless Router GT-AX11000; Asus Wireless Router RT-AC1200HP; Asus Wireless Router RT-AC1300GPLUS; Asus Wireless Router RT-AC1300UHP.
Специалисты по кибербезопасности из SecurityScorecard предполагают, что взломанные роутеры могут служить прокси-серверами для маскировки действий злоумышленников. Однако в материалах исследования отсутствуют детали о конкретных данных, которые передавались через эти устройства.
20 ноября 2025 года разработчик выпустил обновления для всех обнаруженных уязвимостей. Пользователям маршрутизаторов Asus советуют установить актуальную прошивку, а для устаревших моделей — деактивировать опции удаленного управления или приобрести новые устройства.
Согласно информации от Asus, в ноябре 2025 года производитель устранил критическую уязвимость обхода аутентификации CVE-2025-59367, затрагивающую модели DSL-AC51, DSL-N16 и DSL-AC750. Хотя эта уязвимость пока не используется злоумышленниками, эксперты прогнозируют её возможное включение в арсенал кибератак в ближайшем будущем.
