ASUSルーターを標的とした大規模スパイ活動「WrtHug」作戦
あなたの自宅のルーターが、知らないうちにサイバー攻撃の標的になっているかもしれません。SecurityScorecard社のSTRIKEチームは、「WrtHug」作戦と呼ばれる大規模なハッキング作戦を明らかにしました。この作戦により、世界中の数万台のASUS製ルーターが侵害され、国家支援型のインフラストラクチャとして永続的なネットワークアクセスと綿密な監視能力が確立されていると見られています。
この発見は、ASUSの製品セキュリティチームとの協力によって行われ、一般に知られているセキュリティ脆弱性を悪用してASUS WRTルーターが標的とされたことが判明しました。これは、家庭ユーザーと企業セキュリティプロフェッショナルの双方にとって、高度な国家支援型サイバースパイ活動における新たな動向を示す重大な警告です。
「Nth Day Vulnerabilities」と脆弱性の悪用
WrtHug作戦の攻撃者たちは、セキュリティ研究者が「Nth Day Vulnerabilities」と呼ぶ、公開済みであるもののレガシーデバイスやサポート終了デバイスでパッチが適用されていない脆弱性を悪用しています。攻撃者は、少なくとも6つの既知の脆弱性を初期アクセスに利用しており、OSコマンドインジェクションの脆弱性が主要な攻撃ベクトルとなっています。
悪用された主な脆弱性
- CVE-2023-39780 (CVSS 8.8): CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348と連携して悪用されました。
- CVE-2024-12912 (CVSS 7.2): 任意のコマンド実行を可能にする脆弱性。
- CVE-2025-2492 (CVSS 9.2): 不適切な認証による脆弱性。
これらの脆弱性を悪用し、脅威アクターは特にASUSルーターの独自のクラウドストレージおよびリモートアクセスソリューションであるAiCloudサービスを主な侵入ポイントとして標的にしました。一度侵害されると、ルーターは検出されにくい目に見えないグローバルボットネットインフラストラクチャの一部となります。
侵害されたインフラのグローバルネットワークと攻撃者の特定
SecurityScorecard社の調査では、過去6ヶ月間で50,000を超えるユニークなIPアドレスが侵害されたデバイスに属していることが確認されました。感染ルーターの地理的分布は特に顕著で、30~50%が台湾に集中しており、米国、ロシア、東南アジア、ヨーロッパでもかなりのクラスターが見られます。
感染したすべてのデバイスには、100年という異常に長い有効期限を持つ自己署名TLS証明書という独特のデジタルフィンガープリントが発見されました。この特徴的な指標は、侵害されたインフラを特定するための重要な検出ツールとなります。
SecurityScorecard社のSTRIKEチームは、WrtHug作戦が中国関連の脅威アクターによって実行された「運用中継ボックス(ORB)促進キャンペーン」であると、中程度の確度で評価しています。ORB作戦は、国家支援のスパイインフラを世界的に拡大しながら、作戦の秘密を維持するように設計された高度な侵入キャンペーンです。
今回のキャンペーンの標的パターンと手法は、同じデバイスクラスの同じ脆弱性を悪用した別のORBキャンペーンである「AyySSHush」を含む、過去に中国関連と疑われた作戦と酷似しています。両方のキャンペーンで二重に侵害されたデバイスの数が著しく少ないことから、これらの作戦間の連携の可能性が示唆されており、単なる機会主義的な悪用ではなく、戦略的かつ組織的な取り組みであることがうかがえます。
推奨される対策と今後の展望
この作戦は、パッチが適用されていないレガシーデバイスがもたらす脅威の増大を浮き彫りにしています。組織はサポート終了製品を無視することはできません。継続的な監視と隔離が必要です。セキュリティプロフェッショナルは、ネットワークセグメンテーションの実装、特徴的な100年TLS証明書の監視、そして環境内のすべてのASUSデバイスへのパッチ適用を優先すべきです。
WrtHug作戦が示した、単純なブルートフォース攻撃から多段階の悪用チェーンへと進化した高度さは、国家支援型アクターの能力の進化を反映しています。包括的なネットワーク可視性とプロアクティブな脅威ハンティングは、もはや選択肢ではなく、高度な永続的スパイ活動の時代における不可欠な運用要件となっています。