Uma campanha silenciosa e altamente sofisticada está a comprometer milhares de routers ASUS em todo o mundo, com os modelos RT-AC3100, RT-AC3200 e RT-AX55 entre os mais afetados.
A operação maliciosa, identificada pela GreyNoise com o nome “AyySSHush”, já atingiu mais de 9.000 dispositivos até 27 de maio de 2025, além de ter afetado routers de outras marcas, como Cisco, D-Link e Linksys. E o número continua a crescer.
Invasão sem deixar rasto
A botnet AyySSHush explora a vulnerabilidade CVE-2023-39780, uma falha de injeção de comando autenticado, para tomar o controlo total dos dispositivos. O ataque começa com técnicas de força bruta e exploração de falhas de autenticação, que permitem aos atacantes aceder aos routers mesmo sem credenciais válidas.
Depois de garantir o acesso inicial, os invasores executam comandos arbitrários no sistema e ativam o acesso SSH num porto lógico não padrão (TCP/53282). Para garantir persistência, inserem uma chave pública SSH maliciosa na memória NVRAM, o que lhes permite manter o controlo mesmo após reinicializações ou atualizações de firmware.
Como toque final, os logs dos routers são desativados, o que torna extremamente difícil detetar qualquer atividade suspeita.
Segundo a GreyNoise, esta operação é “consistente com aquelas vistas em operações avançadas de longo prazo, incluindo atividades associadas a agentes de ameaças persistentes avançadas (APT) e redes de retransmissão operacionais (ORB)”.
O nível de sofisticação é tal que não há instalação de malware nem vestígios óbvios, apenas o abuso de funcionalidades legítimas do sistema.
Como saber se o teu router foi comprometido?
A ASUS já lançou uma atualização de firmware para corrigir a vulnerabilidade CVE-2023-39780, mas quem tiver sido infetado antes de aplicar a atualização precisa de tomar medidas adicionais, pois as alterações feitas pelos atacantes ao sistema de SSH não são revertidas automaticamente.
Eis o que deves fazer:
- Verifica o acesso SSH no teu router: entra nas configurações e confirma se está ativo no porto 53282.
- Revisa as chaves SSH autorizadas: procura por chaves desconhecidas no ficheiro de chaves autorizadas.
- Desativa o SSH caso encontres atividade suspeita.
- Atualiza o firmware com a versão mais recente fornecida pela ASUS — disponível aqui.
- Restaura o router para as definições de fábrica e reconfigura-o manualmente, de forma a eliminar qualquer backdoor ainda ativo.
- Bloqueia os seguintes IPs maliciosos no teu sistema de rede:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Segundo a GreyNoise, “as alterações na configuração SSH do invasor não são removidas pelas atualizações de firmware. Se um router foi comprometido antes da atualização, o backdoor ainda estará presente, a menos que o acesso SSH seja explicitamente revisto e removido”.
Para mais detalhes técnicos, recomenda-se a leitura do aviso oficial da ASUS e da análise completa da GreyNoise.
Possível ligação à operação ViciousTrap
A investigação aponta ainda para uma possível ligação entre o AyySSHush e o grupo de ameaça conhecido como ViciousTrap, que recentemente comprometeu mais de 5.300 routers Cisco em 84 países, com o objetivo de montar uma infraestrutura tipo honeypot.
De acordo com a página TheHackerNews, no caso da ViciousTrap, a exploração da vulnerabilidade CVE-2023-20118 permitiu transformar dispositivos de rede em armadilhas de tráfego, com redirecionamento para infraestruturas controladas pelos atacantes.
O grupo utilizou um script chamado NetGhost, com capacidade para redirecionar tráfego e até se remover do sistema, dificultando ainda mais qualquer análise forense.
Ambas as campanhas partilham o endereço IP 101.99.91[.]151 e, embora não haja confirmação de que sejam o mesmo grupo, a sobreposição técnica levanta suspeitas.
Além disso, outros IPs usados — 101.99.94.173, 79.141.163.179 e 111.90.146.237 — também foram associados à campanha contra os routers ASUS. Todos eles estão localizados na Malásia e operam sob o mesmo sistema autónomo (AS45839), gerido pelo provedor Shinjiru.
A GreyNoise detetou a atividade pela primeira vez a 18 de março de 2025 e acredita que os agentes estão a preparar o terreno para uma futura botnet de grande escala.
