Selon l'équipe Strike d'experts en cybersécurité de SecurityScorecard, une campagne de cyberespionnage baptisée Opération WrtHug a compromis plus de 50 000 routeurs Asus au cours des six derniers mois.

Cette opération cible spécifiquement des routeurs en fin de vie et les transforme en un vaste réseau de relais pour des activités malveillantes.

Comment les attaquants procèdent-ils ?

Les attaquants exploitent un ensemble de vulnérabilités connues, parfois depuis 2023, pour obtenir un accès privilégié aux appareils. Au total, au moins six failles de sécurité sont utilisées : CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348 et CVE-2025-2492.

Le principal vecteur d'attaque semble être le service AiCloud d'Asus, une fonctionnalité conçue pour un accès à distance qui est ici détournée en porte d'entrée. Une fois compromis, l'appareil intègre le réseau d'attaque.

Qui est derrière cette opération ?

Bien que l'identité exacte des attaquants reste incertaine, SecurityScorecard estime avec une confiance faible à modérée que l'Opération WrtHug est une campagne menée par un acteur inconnu affilié à la Chine.

hacker-pirate

Il ne s'agit pas de botnets classiques. Leur but est de permettre des activités d'espionnage plus discrètes, en masquant le trafic réseau pour des tâches comme le vol de données.

La répartition géographique des victimes est de 30 % à 50% des appareils compromis localisés à Taïwan, et une présence moindre aux États-Unis, en Russie et en Europe.

Quel est le signe d'infection et comment se protéger ?

L'indicateur de compromission le plus flagrant est la présence d'un certificat TLS auto-signé inhabituel sur le service AiCloud de l'appareil. Ce certificat, partagé par tous les appareils infectés, possède une durée de validité extrêmement élevée et peu commune de 100 ans.

Face à cette menace, la meilleure protection reste la mise à jour, sachant qu'Asus a publié des correctifs pour les failles exploitées.

Reste que pour les propriétaires d'un routeur en fin de vie, la seule solution réellement viable est de le remplacer par un modèle qui bénéficie encore d'un support et de mises à jour de sécurité régulières.

Les routeurs ciblés par l'Opération WrtHug

  • Asus Wireless Router 4G-AC55U
  • Asus Wireless Router 4G-AC860U
  • Asus Wireless Router DSL-AC68U
  • Asus Wireless Router GT-AC5300
  • Asus Wireless Router GT-AX11000
  • Asus Wireless Router RT-AC1200HP
  • Asus Wireless Router RT-AC1300GPLUS
  • Asus Wireless Router RT-AC1300UHP