AyySSHush colpisce duro! Oltre 9.000 router Asus son finiti nella Botnet in una campagna stealth

Oltre 9.000 router Asus sono stati hackerati dalla botnet AyySSHush, che attacca anche i router SOHO di Cisco, D-Link e Linksys. Questa campagna dannosa è stata scoperta dai ricercatori di GreyNoise a metà marzo 2025. Gli esperti sostengono che gli attacchi potrebbero essere collegati ad hacker governativi, anche se il rapporto non cita alcun gruppo specifico.

Secondo gli esperti, gli attacchi AyySSHush combinano la forza bruta per indovinare le credenziali, bypassare l’autenticazione e sfruttare vecchie vulnerabilità per hackerare i router Asus, inclusi i modelli RT-AC3100, RT-AC3200 e RT-AX55. Nello specifico, gli aggressori sfruttano una vecchia vulnerabilità di iniezione di comandi, la CVE-2023-39780, per aggiungere la propria chiave SSH pubblica e consentire al demone SSH di ascoltare su una porta TCP non standard, la 53282.

Queste modifiche consentono agli aggressori di ottenere un accesso backdoor al dispositivo e di mantenerlo attivo anche dopo riavvii e aggiornamenti del firmware. “Dato che la chiave viene aggiunta utilizzando le funzioni ufficiali Asus, questa modifica alla configurazione viene mantenuta attraverso gli aggiornamenti del firmware”, spiega GreyNoise. “Se sei stato attaccato, l’aggiornamento del firmware non rimuoverà la backdoor SSH.”

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori sottolineano che gli attacchi AyySSHush sono particolarmente furtivi perché gli hacker non utilizzano malware e disattivano anche la registrazione e la protezione AiProtection di Trend Micro per evitare di essere rilevati. Tuttavia, GreyNoise segnala di aver rilevato solo 30 query dannose correlate alla campagna negli ultimi tre mesi, mentre la botnet ha già infettato più di 9.000 router Asus.

Si ritiene che questa campagna possa sovrapporsi all’attività Vicious Trap, di cui gli analisti di Sekoia hanno recentemente messo in guardia. All’epoca, i ricercatori notarono che gli aggressori stavano sfruttando la vulnerabilità CVE-2021-32030 per hackerare i router Asus.

Nel complesso, la campagna scoperta da Sekoia prende di mira router SOHO, VPN SSL, DVR, controller D-Link BMC, nonché dispositivi Linksys, Qnap e Araknis Networks. I ricercatori hanno ipotizzato che gli aggressori stessero creando un’enorme rete honeypot di dispositivi compromessi e che, con il suo aiuto, avrebbero potuto “osservare i tentativi di sfruttamento in diversi ambienti, raccogliere exploit non pubblici e zero-day e riutilizzare l’accesso ottenuto da altri hacker”.

Come nel caso di ViciousTrap, gli obiettivi precisi degli operatori di AyySSHush non sono chiari, poiché i dispositivi infetti non vengono utilizzati per attacchi DDoS o per il proxy di traffico dannoso. I ricercatori sottolineano che gli sviluppatori di Asus hanno rilasciato patch per la vulnerabilità CVE-2023-39780, ma la loro disponibilità dipende dal modello specifico del router.

Si consiglia agli utenti di aggiornare il firmware il prima possibile, di verificare la presenza di file sospetti e di cercare la chiave SSH degli aggressori nel file authorized_keys. Gli indicatori di compromesso sono disponibili qui .

Gli esperti di GreyNoise hanno anche pubblicato quattro indirizzi IP associati ad attività dannose e che dovrebbero essere inseriti nella blacklist: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 e 111.90.146[.]237.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.