Hackers geven ASUS-routers backdoors die reboot overleven

Op 18 maart 2025 ontdekte GreyNoise voor het eerst een tot dan toe onbekende exploitatiecampagne gericht op ASUS-routers die direct toegankelijk zijn via het internet. In het kader van verantwoordelijke openbaarmaking is de bekendmaking uitgesteld, zodat we onze bevindingen in samenwerking met overheids- en industriepartners konden bevestigen en coördineren.

Overzicht  

GreyNoise heeft een geavanceerde en nog steeds actieve exploitatiecampagne blootgelegd waarbij kwaadwillenden ongeautoriseerde en persistente toegang hebben verkregen tot duizenden kwetsbare ASUS-routers wereldwijd. Deze campagne lijkt deel uit te maken van een heimelijke operatie om een gedistribueerd netwerk van gecompromitteerde apparaten op te bouwen — mogelijk als basis voor een toekomstige botnet of gecoördineerde aanvalsinfrastructuur.

De betrokken dreigingsactoren tonen een hoog niveau van technische bekwaamheid. Hun tactieken omvatten:

• Stille initiële toegang: Het uitbuiten van bekende kwetsbaarheden in combinatie met authenticatie-bypasses om ongemerkt controle te verkrijgen.

• Persistente toegang zonder malware: Het misbruiken van legitieme configuratiefuncties en ingebouwde systeemmechanismen om langdurige toegang te behouden, zelfs na herstart of firmware-updates.

• Operationele veiligheid: Het vermijden van traditionele indicatoren van compromittering door geen detecteerbare malware achter te laten of zichtbare wijzigingen aan te brengen.

Deze methoden komen overeen met tactieken die vaak worden gebruikt in advanced persistent threat (APT)-campagnes en operationele relay box (ORB)-netwerken, waarbij de nadruk ligt op langdurige, heimelijke aanwezigheid. Hoewel GreyNoise geen formele attributie heeft gedaan, wijst het hoge niveau van vakmanschap op een goed gefinancierde en technisch capabele tegenstander.

Duurzame en Onopvallende Toegang

Wat deze campagne bijzonder zorgwekkend maakt, is de duurzaamheid van de toegang: aanvallers behouden controle over de getroffen apparaten, zelfs nadat deze opnieuw zijn opgestart of geüpdatet. Dit wordt bereikt door een combinatie van het uitbuiten van vertrouwde configuratiefuncties en systeemmogelijkheden, zonder dat er kwaadaardige software wordt geïnstalleerd die eenvoudig te detecteren is.

Detectiemethodologie

De activiteit werd gedetecteerd via Sift, de eigen AI-aangedreven payload-analysetool van GreyNoise, die realtime netwerkverkeer op wereldwijde schaal analyseert. In combinatie met volledig nagebootste ASUS-routeromgevingen binnen het GreyNoise Global Observation Grid konden wij subtiele exploitatiepogingen onderscheiden die anders verloren zouden gaan in de wereldwijde datastroom.

Door de volledige aanvalsketen te reconstrueren, hebben we waardevolle inzichten verkregen in de gebruikte methoden en waarschijnlijke doelstellingen van de aanvallers. Deze inzichten worden nu gedeeld met onze partners ter ondersteuning van verdedigingsmaatregelen en verdere dreigingsanalyse.

Voor een volledige technische uiteenzetting van de bevindingen, gebruikte kwetsbaarheden en detectiesignaturen, verwijzen wij naar de volledige technische analyse.