Chiến dịch tấn công mạng tinh vi được đặt tên là Operation WrtHug đã chiếm quyền điều khiển hàng chục nghìn router ASUS WRT trên toàn cầu. Các thiết bị này bị biến thành công cụ gián điệp tiềm năng, do nhóm tin tặc được cho là có liên kết với Trung Quốc điều hành.

Nhóm STRIKE của SecurityScorecard, hợp tác cùng ASUS, đã tiết lộ chiến dịch vào ngày 18 tháng 11 năm 2025. Cuộc điều tra cho thấy tin tặc đã khai thác firmware lỗi thời để xây dựng một cơ sở hạ tầng mạng bí mật.

Kỹ thuật Khai thác và Dấu hiệu nhận biết ban đầu

Cuộc tấn công này làm nổi bật mối đe dọa ngày càng tăng đối với các thiết bị tiêu dùng đã hết hạn sử dụng (end-of-life). Các thiết bị bị nhiễm tập trung ở Đài Loan và lan rộng sang Hoa Kỳ, Nga, cùng Đông Nam Á.

Sử dụng Chứng chỉ TLS Tự ký

Các nhà nghiên cứu lần đầu tiên phát hiện Operation WrtHug thông qua một chứng chỉ TLS tự ký đáng ngờ, được chia sẻ trên các thiết bị bị xâm nhập. Chứng chỉ này có ngày hết hạn bất thường là 100 năm, bắt đầu từ tháng 4 năm 2022.

• SHA1 thumbprint của chứng chỉ: 1894a6800dff523894eba7f31cea8d05d51032b4.
• Chứng chỉ này xuất hiện trên 99% các dịch vụ ASUS AiCloud bị ảnh hưởng. AiCloud, một tính năng được thiết kế để truy cập mạng gia đình từ xa, đã bị khai thác làm điểm xâm nhập.

Mục tiêu và Phương thức Xâm nhập

Chiến dịch Operation WrtHug nhắm mục tiêu độc quyền vào các mẫu ASUS WRT, trong đó nhiều thiết bị đã hết hạn sử dụng và chưa được vá lỗi. Điều này cho phép kẻ tấn công chèn lệnh và giành quyền root mà không làm thay đổi vẻ ngoài của thiết bị.

Quy mô của chiến dịch là đáng báo động, với ước tính khoảng 50.000 địa chỉ IP duy nhất liên quan trong sáu tháng qua, dựa trên các công cụ quét độc quyền như Driftnet.

Các Lỗ hổng CVE Bị Khai thác

Tin tặc đã kết hợp sáu lỗ hổng đã biết trong firmware của ASUS để lây lan mã độc. Các cuộc tấn công tập trung vào các N-day exploits trong AiCloud và các vector chèn hệ điều hành (OS injection). SecurityScorecard đã cung cấp thông tin chi tiết trong báo cáo STRIKE_Asus_WrtHug-Report_V6.pdf.

Những lỗ hổng này, tất cả đều đã được ASUS vá lỗi, chủ yếu ảnh hưởng đến các router cũ chạy máy chủ web lighttpd hoặc Apache.

Các lỗ hổng này có liên quan đến CVE-2023-39780, một lỗi chèn lệnh (command injection) đã từng xuất hiện trong chiến dịch AyySSHush trước đó. Điều này cho thấy khả năng có sự trùng lặp trong hoạt động của các tác nhân. Bảy địa chỉ IP cho thấy dấu hiệu bị xâm nhập kép, gợi ý về các nỗ lực phối hợp.

STRIKE đánh giá với độ tin cậy từ thấp đến trung bình rằng các tác nhân liên quan đến Trung Quốc đang điều hành Operation WrtHug. Điều này phản ánh các chiến thuật được sử dụng trong các ORB như LapDogs và PolarEdge. Việc tập trung vào Đài Loan và khả năng duy trì quyền truy cập vào router thông qua SSH backdoors cho thấy mục đích xây dựng cơ sở hạ tầng gián điệp. Để biết thêm thông tin về CVE-2023-39780, tham khảo NVD.NIST.GOV.

Đây là một phần của xu hướng chiếm quyền điều khiển router do nhà nước tài trợ, phát triển từ các cuộc tấn công vét cạn (brute-force) thành các chuỗi lây nhiễm đa giai đoạn.

Phạm vi và Ảnh hưởng của Chiến dịch

Phân bố Địa lý và Quy mô

Không giống như các botnet ngẫu nhiên, Operation WrtHug cho thấy sự tập trung địa lý có chủ đích. Chiến dịch đã lây nhiễm 30-50% thiết bị ở Đài Loan, một mô hình phù hợp với các căng thẳng địa chính trị. Các cụm nhỏ hơn đã tấn công Hàn Quốc, Nhật Bản, Hồng Kông, trung Âu và Hoa Kỳ. Trong khi đó, Trung Quốc đại lục phần lớn không bị ảnh hưởng, ngoại trừ Hồng Kông.

Các Mẫu Thiết bị Mục tiêu

Các mẫu thiết bị bị nhắm mục tiêu bao gồm RT-AC1200HP, GT-AC5300 và DSL-AC68U, thường được tìm thấy trong các gia đình hoặc văn phòng nhỏ. Mặc dù chi tiết về các hoạt động sau khi khai thác vẫn chưa rõ ràng, nhưng việc thiết lập này cho phép ủy quyền lưu lượng truy cập C2 và đánh cắp dữ liệu.

Chỉ số Thỏa hiệp (IOCs)

Việc giám sát các Chỉ số Thỏa hiệp (IOCs) sau đây có thể giúp phát hiện các lây nhiễm:

• Chứng chỉ TLS tự ký: SHA1 thumbprint 1894a6800dff523894eba7f31cea8d05d51032b4.
• Địa chỉ IP bổ sung:
  • 59.26.66[.]44
  • 83.188.236[.]86
  • 195.234.71[.]218

Khuyến nghị Bảo mật và Phòng tránh

ASUS kêu gọi người dùng cập nhật firmware và vô hiệu hóa các tính năng không sử dụng như AiCloud trên các thiết bị được hỗ trợ. Đối với các mẫu thiết bị đã hết hạn sử dụng, khuyến nghị thay thế thiết bị, đồng thời thực hiện phân đoạn mạng và giám sát chứng chỉ TLS.

Các tổ chức nên quét tìm chứng chỉ IOC và áp dụng các bản vá bảo mật từ danh mục các lỗ hổng đã bị khai thác của CISA. Khi các cuộc tấn công router leo thang vào năm 2025, sự cố Operation WrtHug này nhấn mạnh sự cần thiết của an ninh mạng SOHO để ngăn chặn các hoạt động thăm dò của các quốc gia.