資安公司 SecurityScorecard 發現一項名為「WrtHug」的中國駭客行動,已入侵全球數千台華碩 WRT 路由器,目的是建立間諜網路。
攻擊者鎖定已停止支援的 SOHO 設備,利用六個漏洞取得系統最高權限。
駭客利用六個漏洞進行攻擊:CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2024-12912 和 CVE-2025-2492。這些漏洞針對華碩 AiCloud 服務和作業系統注入弱點(OS injection),使駭客能在受害裝置上持續駐留。
SecurityScorecard 的 STRIKE 團隊在調查可疑的 TLS 憑證時發現這波攻擊。大多數被感染的設備使用相同的自簽 TLS 憑證(self-signed TLS certificate),有效期長達 100 年。這項異常特徵成為追蹤駭客基礎設施的重要線索。
在 WrtHug 行動的受害者中,高達 50% 位於台灣。基於此地理分布特徵及攻擊手法的相似性,研究人員以中低程度信心推斷,這是一個與中國相關但身分不明的 APT 組織所發動的 ORB 支援行動。
與先前攻擊行動的關聯
研究人員發現 WrtHug 與另一個中國駭客行動「
AyySSHush」有許多相似之處。AyySSHush 同樣
利用 CVE-2023-39780 漏洞攻擊已停止支援的華碩路由器。兩起攻擊行動有七個 IP 位址出現重疊跡象,顯示背後的駭客組織可能相同,或彼此存在合作關係。
雖然 WrtHug 並非典型的作戰中繼站(ORB),但其攻擊手法與中國 APT 組織的 ORB 及殭屍網路行動高度相似。
資安專家建議
SecurityScorecard 研究員 Gilad Maizles 指出,這起事件顯示國家級駭客組織日益重視將消費性設備作為攻擊跳板。WrtHug 是國家級駭客如何滲透消費性基礎設施、建立隱密且具韌性的全球間諜網路的典型案例。
這起事件凸顯企業和個人用戶必須採取以下防護措施:
- 定期更新設備韌體
- 停用過時的服務功能
- 主動監控網路異常活動
- 適時汰換已停止支援的設備
本文轉載自 InfosecurityMagazine。