新型WrtHugキャンペーンの概要
2025年11月19日、新たなサイバー攻撃キャンペーン「Operation WrtHug」が、数千台の寿命切れまたは古いASUS WRTルーターを世界規模で乗っ取っていることが明らかになりました。この攻撃は、過去6ヶ月間にわたり、6つの脆弱性を悪用して行われており、約50,000のユニークIPアドレスが侵害されているとSecurityScorecardのSTRIKE研究者が報告しています。
侵害されたデバイスのIPアドレスは、主に台湾に集中しており、その他には東南アジア、ロシア、中央ヨーロッパ、アメリカ合衆国に分散しています。中国内での感染は確認されておらず、このことから中国の脅威アクターによる犯行が示唆されていますが、高信頼性の帰属を裏付ける十分な証拠はないとされています。また、STRIKE研究者は、攻撃の標的と手法から、このOperation WrtHugがGreyNoiseによって5月に初めて文書化されたAyySSHushキャンペーンと関連している可能性があると指摘しています。
標的となったルーターと悪用された脆弱性
WrtHug攻撃は、主にASUS WRTルーターのACシリーズおよびAXシリーズデバイスに存在するコマンドインジェクションの欠陥やその他の既知の脆弱性を悪用することから始まります。STRIKE研究者によると、WrtHugキャンペーンでは以下のセキュリティ問題が悪用されている可能性があります:
- CVE-2023-41345/46/47/48 – トークンモジュールを介したOSコマンドインジェクション
- CVE-2023-39780 – 重大なコマンドインジェクションの欠陥(AyySSHushキャンペーンでも悪用)
- CVE-2024-12912 – 任意のコマンド実行
- CVE-2025-2492 – 不適切な認証制御により、不正な機能実行につながる可能性
上記の脆弱性のうち、CVE-2025-2492は唯一クリティカルな深刻度を持っています。ASUSは4月にこの脆弱性に関するセキュリティアドバイザリを発行し、AiCloud機能が有効になっているルーターで細工されたリクエストによってトリガーされる可能性があることを警告していました。SecurityScorecardは、攻撃者がこのASUS AiCloudサービスを悪用して、ターゲットを絞ったグローバルな侵入セットを展開したと述べています。
侵害の痕跡と影響を受けるデバイス
このキャンペーンの侵害の痕跡(IoC)の1つは、AiCloudサービスにおける自己署名TLS証明書の存在です。侵害されたデバイスの99%で、標準のASUS生成証明書がこれに置き換えられています。この新しい証明書は、元の証明書が10年間有効であるのに対し、100年という非常に長い有効期間を持つため、注目されました。STRIKE研究者は、このユニークな証明書を利用して、50,000件の感染IPを特定しました。
AyySSHushキャンペーンと同様に、攻撃者は侵害したデバイスのファームウェアをアップグレードしないため、他の脅威アクターによる乗っ取りの可能性を残しています。研究者らが特定した、Operation WrtHugによって標的とされているASUSデバイスは以下の通りです:
- ASUS Wireless Router 4G-AC55U
- ASUS Wireless Router 4G-AC860U
- ASUS Wireless Router DSL-AC68U
- ASUS Wireless Router GT-AC5300
- ASUS Wireless Router GT-AX11000
- ASUS Wireless Router RT-AC1200HP
- ASUS Wireless Router RT-AC1300GPLUS
- ASUS Wireless Router RT-AC1300UHP
攻撃者の目的と推奨される対策
STRIKEは、侵害されたルーターが中国のハッキング作戦において、ステルスなリレーノード、プロキシ、コマンド&コントロールインフラストラクチャの隠蔽のための運用リレーボックス(ORB)ネットワークとして使用されている可能性があると考えています。しかし、報告書は侵害後の運用に関する具体的な詳細には触れていません。
ASUSは、WrtHug攻撃で悪用されたすべての脆弱性に対処するセキュリティアップデートをすでに発行しています。ルーターの所有者は、ファームウェアを最新バージョンにアップグレードすることを強く推奨します。もしデバイスがすでにサポート対象外である場合は、交換するか、少なくともリモートアクセス機能を無効にすることが推奨されます。また、ASUSは最近、複数のACシリーズモデルに影響を与える認証バイパスの欠陥CVE-2025-59367を修正しました。これはまだ悪用されていませんが、今後攻撃者の標的になる可能性も指摘されています。