Se ainda tem um router antigo da ASUS a funcionar lá em casa, talvez seja altura de verificar o modelo e considerar uma reforma antecipada. Uma nova investigação revelou que cerca de 50.000 routers da marca foram comprometidos numa campanha de ciberespionagem complexa, que os especialistas acreditam ter origem na China.
A campanha, batizada de "Operation WrtHug" pela equipa STRIKE da SecurityScorecard, tem um alvo muito específico: routers ASUS WRT que já atingiram o fim da sua vida útil (End-of-Life) e que, por isso, já não recebem atualizações de segurança.
O perigo dos equipamentos obsoletos
O ataque explora uma combinação de múltiplas vulnerabilidades conhecidas, algumas das quais remontam a 2023, mas inclui também falhas mais recentes. Segundo os dados revelados, os atacantes estão a tirar partido de seis falhas de segurança distintas, incluindo quatro bugs de injeção de comandos de 2023 classificados com gravidade elevada, bem como as mais recentes CVE-2024-12912 e CVE-2025-2492.
Embora a grande maioria dos dispositivos afetados esteja concentrada em Taiwan e no Sudeste Asiático, a natureza destes ataques serve de alerta global sobre os riscos de manter hardware de rede desatualizado ligado à internet. Curiosamente, o impacto na Rússia e nos Estados Unidos foi considerado mínimo, e praticamente inexistente na China continental (excluindo Hong Kong), o que reforça a teoria da origem do ataque.
Espionagem silenciosa em vez de caos ruidoso
Ao contrário de uma botnet tradicional, que muitas vezes procura fazer "barulho" através de ataques DDoS massivos, esta campanha parece ter objetivos diferentes. Os investigadores classificam a rede comprometida como uma "Operational Relay Box" (ORB).
O objetivo destas ORBs é permitir atividades de espionagem mais furtivas, ocultando o tráfego de rede para facilitar tarefas como o roubo de dados sem levantar suspeitas. Esta abordagem alinha-se com táticas observadas anteriormente em grupos de ameaças persistentes avançadas (APT) patrocinados pelo estado chinês.
Segundo avançado pelo The Register, esta campanha partilha semelhanças com a "AyySSHush", descoberta em maio, que também visava routers ASUS. Embora apenas sete dispositivos tenham sido encontrados comprometidos por ambas as campanhas, a utilização de exploits idênticos sugere que podemos estar perante uma evolução da mesma operação ou o trabalho de atores coordenados.
Como detetar e resolver
Para os utilizadores mais técnicos, há um sinal claro de infeção: a presença de um certificado TLS autoassinado invulgar no serviço AiCloud do dispositivo. Os routers comprometidos partilham um certificado idêntico com uma data de validade de 100 anos, com início em abril de 2022 – uma longevidade extremamente rara e suspeita para este tipo de certificado.
No entanto, para o utilizador comum, a solução é muito mais direta e pragmática. Se possui um router que já não recebe suporte oficial da marca, a recomendação dos especialistas é simples: substitua-o. Manter na sua rede um dispositivo que já não recebe correções para falhas críticas é deixar a porta aberta a quem queira entrar.
Nenhum comentário
Seja o primeiro!