AyySSHush ha già compromesso 9000 router ASUS con backdoor SSH persistenti: cosa fare adesso

Una nuova botnet denominata AyySSHush ha compromesso oltre 9.000 router ASUS attraverso una campagna di attacco particolarmente sofisticata che combina tecniche di forza bruta, bypass dell'autenticazione e sfruttamento di vulnerabilità note. La scoperta è stata effettuata dai ricercatori di sicurezza di GreyNoise a metà marzo 2025, che ha rivelato un'operazione caratterizzata da un livello di competenza tecnica che suggerisce un presunto coinvolgimento di attori statali.

La campagna prende di mira principalmente i modelli RT-AC3100, RT-AC3200 e RT-AX55, sfruttando una vecchia vulnerabilità di iniezione di comandi identificata come CVE-2023-39780. Gli aggressori utilizzano questa falla per aggiungere le proprie chiavi pubbliche SSH e configurare il daemon SSH per l'ascolto sulla porta TCP 53282. La particolarità di questo approccio risiede nel fatto che le modifiche vengono implementate attraverso le funzionalità ufficiali ASUS, garantendo la persistenza della backdoor anche dopo riavvii e aggiornamenti del firmware.

AyySSHush ha già colpito 9000 router ASUS: come proteggersi

L'attacco risulta particolarmente insidioso per la sua natura "stealth", visto che si caratterizza per l'assenza di un malware tradizionale. Gli aggressori disattivano sistematicamente la registrazione dei log e altri strumenti di sicurezza per eludere i sistemi di rilevamento. GreyNoise ha registrato solo 30 richieste dannose associate a questa campagna negli ultimi tre mesi, nonostante l'infezione di migliaia di dispositivi, evidenziando l'efficacia delle tecniche di occultamento utilizzate. L'attività malevola è scoperta attraverso Sift, lo strumento di analisi dei payload di rete basato sull'intelligenza artificiale di GreyNoise, che ha identificato richieste HTTP POST anomale dirette agli endpoint dei router ASUS.

I ricercatori hanno poi utilizzato router ASUS RT-AC3100 e RT-AC3200 completamente emulati con firmware di fabbrica per ricostruire la catena di attacco e verificare le modalità di accesso e mantenimento della persistenza. La campagna ha dei punti in comune con l'attività tracciata da Sekoia come "Vicious Trap", divulgata la settimana precedente. Tuttavia, mentre Sekoia ha riportato lo sfruttamento di CVE-2021-32030, la campagna AyySSHush si concentra principalmente su CVE-2023-39780. Entrambe le operazioni hanno preso di mira router SOHO, VPN SSL, DVR e controller BMC di diversi produttori, inclusi D-Link, Linksys, QNAP e Araknis Networks.

L'obiettivo operativo finale di AyySSHush rimane poco chiaro: non sono stati osservati segni di attacchi DDoS o utilizzo dei dispositivi per il proxy di traffico dannoso attraverso i router ASUS. Tuttavia, nelle violazioni osservate da Sekoia, è stato scaricato ed eseguito uno script dannoso per reindirizzare il traffico di rete dai sistemi compromessi verso dispositivi di terze parti controllati dagli aggressori. Attualmente, la campagna sembra costruire silenziosamente una rete di router con backdoor per creare le fondamenta di una botnet, di cui ancora non v'è traccia.

Ma come proteggersi? ASUS ha già rilasciato aggiornamenti di sicurezza che risolvono la vulnerabilità CVE-2023-39780 per i router interessati, anche se i tempi di disponibilità variano in base al modello. Tuttavia, poiché la backdoor SSH viene installata utilizzando funzionalità legittime del sistema, gli aggiornamenti del firmware non rimuovono automaticamente l'accesso non autorizzato. Gli esperti raccomandano agli utenti di verificare la presenza di file sospetti e dell'aggiunta di chiavi SSH dell'aggressore nel file "authorized_keys" (qui maggiori dettagli), oltre a bloccare quattro indirizzi IP specifici associati all'attività dannosa (101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237). Insomma, procedure che non sono alla portata di tutti.

Per i dispositivi sospetti di compromissione, si consiglia inoltre un ripristino completo alle impostazioni di fabbrica seguito da una riconfigurazione con credenziali robuste.