Kampanye Baru WrtHug Kapling Ribuan Router ASUS Usang di Seluruh Dunia
Operasi siber berskala global bernama Operation WrtHug telah berhasil menargetkan ribuan router ASUS WRT—terutama perangkat yang sudah end-of-life, tidak lagi menerima pembaruan, atau menjalankan firmware usang. Kampanye ini mengeksploitasi enam kerentanan berbeda dan dalam enam bulan terakhir terdeteksi pada sekitar 50.000 alamat IP unik di berbagai negara.
Sebagian besar perangkat terinfeksi berada di Taiwan, disusul kawasan Asia Tenggara, Rusia, Eropa Tengah, dan Amerika Serikat. Menariknya, tidak ditemukan infeksi di Tiongkok, meskipun indikator tersebut belum cukup kuat untuk menyimpulkan pelaku secara pasti. STRIKE, unit riset SecurityScorecard, menemukan pola yang menunjukkan kemungkinan keterkaitan dengan kampanye AyySSHush, yang pertama kali dilaporkan GreyNoise pada Mei lalu.
Bagaimana WrtHug Menyebar
Serangan WrtHug dimulai dengan memanfaatkan serangkaian celah keamanan pada router ASUS AC-series dan AX-series, termasuk sejumlah kelemahan injeksi perintah. STRIKE mencatat bahwa kampanye ini mengeksploitasi beberapa kerentanan berikut:
- CVE-2023-41345/46/47/48 – OS command injection melalui modul token
- CVE-2023-39780 – celah injeksi perintah penting, juga digunakan dalam kampanye AyySSHush
- CVE-2024-12912 – eksekusi perintah arbitrer
- CVE-2025-2492 – kelemahan autentikasi kritis memungkinkan eksekusi fungsi tanpa izin
Di antara daftar tersebut, CVE-2025-2492 menjadi yang paling serius. ASUS telah merilis peringatan pada April lalu, menyebut bahwa kerentanan dapat dipicu melalui permintaan khusus pada router yang memiliki fitur AiCloud aktif. SecurityScorecard menyatakan bahwa WrtHug tampaknya memanfaatkan layanan AiCloud sebagai jalur distribusi intrusi secara global.
Salah satu indikator kompromi paling mencolok adalah penggantian sertifikat TLS bawaan AiCloud dengan sertifikat self-signed milik pelaku, ditemukan pada 99% perangkat yang diretas. Sertifikat ini memiliki masa berlaku 100 tahun, jauh lebih panjang dibanding sertifikat asli ASUS yang hanya 10 tahun. Keunikan tersebut memudahkan para peneliti memetakan lebih dari 50.000 IP yang telah terinfeksi.
Tidak Ada Pembaruan Firmware: Membuka Peluang Serangan Lanjutan
Sama seperti pola pada AyySSHush, pelaku tidak memperbarui firmware router yang telah dikompromikan. Hal ini membuat perangkat tetap rentan dan berpotensi direbut oleh kelompok lain. Dari analisis artefak kompromi, perangkat ASUS yang menjadi sasaran termasuk:
- ASUS 4G-AC55U
- ASUS 4G-AC860U
- ASUS DSL-AC68U
- ASUS GT-AC5300
- ASUS GT-AX11000
- ASUS RT-AC1200HP
- ASUS RT-AC1300GPLUS
- ASUS RT-AC1300UHP
STRIKE menduga perangkat yang diretas dimanfaatkan sebagai operational relay box (ORB)—node relai tersembunyi untuk menyamarkan komunikasi command-and-control, terutama dalam operasi peretasan yang diasosiasikan dengan aktor Tiongkok. Namun laporan ini belum mengulas lebih jauh aktivitas pasca-kompromi.
Pengguna Wajib Perbarui Firmware atau Ganti Perangkat
ASUS telah merilis pembaruan keamanan untuk seluruh kerentanan yang dieksploitasi dalam Operation WrtHug. Pemilik router disarankan:
- Segera memperbarui firmware ke versi terbaru
- Jika perangkat sudah tidak lagi didukung, pertimbangkan untuk mengganti router
- Setidaknya nonaktifkan akses jarak jauh dan fitur berbasis internet seperti AiCloud
ASUS juga baru saja memperbaiki CVE-2025-59367, celah bypass autentikasi pada beberapa model AC-series yang saat ini belum terlihat disalahgunakan, tetapi berpotensi masuk ke daftar eksploitasi aktor ancaman dalam waktu dekat.
