Más de 9.000 routers ASUS han sido comprometidos por una sofisticada campaña de ciberataques vinculada a una nueva botnet denominada AyySSHush, la cual también apunta a dispositivos de red de marcas como Cisco, D-Link y Linksys, particularmente en entornos SOHO (Small Office/Home Office). Esta amenaza representa un serio riesgo para la seguridad de las redes domésticas y pequeñas empresas, al aprovechar vulnerabilidades críticas y técnicas sigilosas de persistencia remota.
Descubrimiento de la botnet AyySSHush
La campaña fue descubierta a mediados de marzo de 2025 por la empresa de inteligencia de amenazas GreyNoise, que ha catalogado el comportamiento del atacante como consistente con tácticas utilizadas por actores de amenazas patrocinados por Estados, aunque no se ha atribuido oficialmente a ningún grupo en particular.
El análisis revela que la botnet AyySSHush combina varias técnicas de ataque, incluyendo:
-
Fuerza bruta de credenciales SSH
-
Elusión de autenticación
-
Explotación de vulnerabilidades antiguas no parcheadas
En particular, los atacantes se aprovechan de una falla crítica de inyección de comandos (CVE-2023-39780) para comprometer routers ASUS, como los modelos RT-AC3100, RT-AC3200 y RT-AX55. Esta vulnerabilidad permite a los atacantes añadir una clave pública SSH personalizada y modificar el puerto de escucha del demonio SSH a un valor no estándar (TCP 53282), asegurando así un acceso persistente tipo puerta trasera, incluso después de reinicios o actualizaciones de firmware.
Un ataque persistente que sobrevive actualizaciones
Lo más alarmante es que los cambios realizados por los atacantes utilizan funciones legítimas del sistema ASUS, lo que hace que las modificaciones persistan a través de actualizaciones de firmware, una táctica poco habitual en botnets tradicionales.
“Debido a que esta clave se agrega utilizando las características oficiales de ASUS, este cambio de configuración persiste en todas las actualizaciones de firmware”, advierte GreyNoise.
Esto implica que una simple actualización del router no es suficiente para eliminar la puerta trasera SSH una vez comprometido el dispositivo. En muchos casos, los usuarios pueden pensar erróneamente que su dispositivo está seguro solo por haber aplicado parches recientes.
Una campaña sigilosa y sin malware
Otra característica inusual de esta campaña es su bajo perfil y sigilo extremo. AyySSHush no utiliza malware tradicional: no se instalan archivos ejecutables en el sistema, ni se generan logs o alertas típicas.
De hecho, los atacantes:
-
Desactivan los registros del sistema
-
Desactivan AiProtection, el sistema de seguridad integrado de Trend Micro en routers ASUS
-
Modifican configuraciones de red para evitar la detección
A pesar de que 9.000 dispositivos están comprometidos, GreyNoise solo detectó 30 solicitudes maliciosas asociadas en los últimos tres meses, lo que indica una operación muy cuidadosa y dirigida.
Tres de esas pocas solicitudes fueron suficientes para activar las herramientas de análisis basadas en inteligencia artificial de GreyNoise, lo que llevó a una inspección manual y, finalmente, a la detección de la campaña.
Relación con la campaña “Vicious Trap”
GreyNoise también sugiere que AyySSHush podría estar vinculada o superponerse con la campaña “Vicious Trap”, investigada por la firma francesa de ciberseguridad Sekoia, que recientemente reportó ataques similares dirigidos a dispositivos de red de ASUS y otras marcas. En esa campaña, los atacantes explotaban otra vulnerabilidad crítica, CVE-2021-32030, para tomar control de routers y redirigir el tráfico de red hacia servidores bajo su control.
Los dispositivos comprometidos incluían routers SOHO, SSL VPN, DVRs y controladores BMC de fabricantes como D-Link, Linksys, QNAP y Araknis Networks, lo que confirma un patrón más amplio de ataque contra infraestructuras de red domésticas y empresariales de bajo perfil.
¿Qué buscan los atacantes?
Hasta el momento, no se ha detectado el uso de los routers comprometidos para ataques de denegación de servicio (DDoS) ni para redirigir tráfico malicioso de forma masiva. Sin embargo, se ha observado la ejecución de scripts que redirigen el tráfico de red a través de dispositivos controlados por los atacantes.
Esto sugiere que la campaña AyySSHush está en su fase de preparación, construyendo silenciosamente una botnet que podría utilizarse más adelante para operaciones coordinadas, como espionaje, exfiltración de datos o actividades de sabotaje.
.jpg)
Solicitudes maliciosas dirigidas a routers
ASUS Fuente: GreyNoise
¿Cómo proteger tus routers ASUS?
ASUS ha lanzado parches de seguridad para CVE-2023-39780, pero la disponibilidad de estas actualizaciones puede variar según el modelo de router. Se recomienda:
-
Actualizar inmediatamente el firmware del dispositivo.
-
Verificar el archivo
1authorized_keyspara detectar claves SSH no autorizadas.
-
Revisar la configuración del demonio SSH y asegurarse de que no esté escuchando en puertos inusuales como el 53282.
-
Bloquear las siguientes direcciones IP asociadas a esta campaña:
-
101.99.91[.]151
-
101.99.94[.]173
-
79.141.163[.]179
-
111.90.146[.]237
-
Si sospechas que tu router ha sido comprometido, la acción más segura es realizar un restablecimiento de fábrica, seguido de una reconfiguración completa con contraseñas fuertes y únicas.
Fuente: Bleeping Computer
