### Operación WrtHug: Decenas de miles de routers ASUS comprometidos en una campaña global

#### Introducción

Una reciente campaña de ciberataques ha puesto en jaque la seguridad de decenas de miles de routers ASUS obsoletos o fuera de soporte (End-of-Life, EoL) en todo el mundo. Identificada como “Operación WrtHug” por el equipo STRIKE de SecurityScorecard, esta ofensiva está movilizando una red masiva de dispositivos comprometidos, principalmente en Taiwán, Estados Unidos y Rusia, aunque también se han detectado infecciones en el sudeste asiático y varios países europeos. El objetivo: integrar estos routers vulnerables en infraestructuras de botnets, con graves consecuencias para la seguridad corporativa y doméstica.

#### Contexto del Incidente o Vulnerabilidad

Operation WrtHug se apoya en el aprovechamiento sistemático de routers ASUS que han alcanzado el final de su ciclo de vida útil, lo que significa que ya no reciben actualizaciones de firmware ni parches de seguridad por parte del fabricante. Según los datos presentados por SecurityScorecard, más de 24.000 dispositivos han sido comprometidos sólo en las primeras semanas de la campaña, con una distribución geográfica significativa en regiones con alta penetración de hardware ASUS.

Este ataque pone de manifiesto la creciente tendencia de los actores de amenazas a explotar infraestructuras obsoletas, que suelen quedar fuera del radar de los procesos habituales de gestión de vulnerabilidades en muchas organizaciones y hogares. La falta de soporte y la exposición a Internet convierten a estos dispositivos en un eslabón débil especialmente atractivo para campañas de secuestro a gran escala.

#### Detalles Técnicos: CVE, vectores de ataque y TTPs

El análisis preliminar indica que los atacantes están explotando un conjunto de vulnerabilidades conocidas en modelos antiguos de routers ASUS, muchas de ellas documentadas bajo identificadores CVE no resueltas en dispositivos EoL. Destacan, entre otras, la CVE-2023-28702 (ejecución remota de código mediante HTTP) y la CVE-2022-35401 (autenticación insuficiente en la interfaz de administración web).

El vector de ataque principal consiste en el escaneo masivo de direcciones IP en busca de routers ASUS expuestos con firmware vulnerable. Una vez identificado un objetivo, los actores de amenaza emplean scripts automatizados para explotar vulnerabilidades de ejecución remota de comandos (RCE) y acceder al sistema subyacente, normalmente basado en Linux (a menudo variantes de OpenWRT en estos dispositivos).

Posteriormente, el malware carga cargas útiles (payloads) personalizadas, que convierten el router en un nodo dentro de una botnet. Se han observado TTPs (Tácticas, Técnicas y Procedimientos) alineadas con las matrices MITRE ATT&CK, concretamente las técnicas T1190 (Exploitation of Remote Services), T1046 (Network Service Scanning) y T1071 (Application Layer Protocol – Web Protocols), así como el uso de shells inversos y túneles cifrados para el control remoto.

Los atacantes emplean infraestructuras de mando y control (C2) rotativas y, en algunos casos, frameworks como Metasploit para la explotación inicial y herramientas personalizadas para la persistencia. Los IoC incluyen direcciones IP de C2, hashes de binarios maliciosos y patrones característicos de tráfico saliente.

#### Impacto y Riesgos

El impacto de esta campaña es significativo tanto para entornos corporativos como domésticos. Los routers comprometidos pueden ser utilizados como proxies para ocultar actividades maliciosas, lanzar ataques DDoS, distribuir malware, espiar comunicaciones o pivotar hacia redes internas más críticas.

Los riesgos incluyen:

– Exposición de información sensible por tráfico interceptado.
– Inclusión involuntaria en botnets para ataques coordinados.
– Posibles sanciones regulatorias en caso de violación de datos personales (GDPR, NIS2).
– Degradación del servicio de red y pérdida de confianza por parte de empleados y clientes.

Según estimaciones de SecurityScorecard, la campaña podría haber causado ya pérdidas económicas indirectas superiores a los 3 millones de dólares a nivel global, incluyendo costes de mitigación, pérdida de productividad y servicios de respuesta a incidentes.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:

– Identificar y retirar de producción cualquier router ASUS EoL o sin soporte.
– Aplicar segmentación de red para aislar dispositivos IoT y routers vulnerables.
– Monitorizar tráfico saliente en busca de IoCs publicados (IPs, dominios y hashes asociados).
– Implementar políticas de actualización de hardware y gestión de ciclo de vida.
– Utilizar herramientas de detección de amenazas de red (NDR) y análisis de comportamiento.
– Considerar la sustitución por equipos con soporte activo y capacidades de seguridad avanzadas.

#### Opinión de Expertos

Expertos en ciberseguridad, como José Manuel Ortega (especialista en redes y pentesting), advierten: “La falta de gestión del ciclo de vida de los dispositivos de red es una vulnerabilidad sistémica. No basta con parchear, hay que retirar equipos obsoletos antes de que sean explotados masivamente”.

Por su parte, el analista de amenazas Sergio de los Santos subraya: “La explotación automatizada de routers EoL es tendencia creciente, especialmente como vector inicial para ataques avanzados y movimientos laterales”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus inventarios de hardware y priorizar la sustitución de dispositivos fuera de soporte. Los CISOs y responsables de cumplimiento han de considerar el impacto regulatorio, especialmente bajo marcos como GDPR y NIS2, que exigen medidas proactivas de protección de infraestructuras críticas.

A nivel doméstico, los usuarios particulares deben ser conscientes del riesgo de mantener routers desactualizados y exigir a sus proveedores de Internet actualizaciones o sustituciones periódicas de equipo.

#### Conclusiones

Operation WrtHug representa un ejemplo paradigmático de cómo la falta de gestión proactiva de dispositivos EoL puede derivar en riesgos sistémicos para la seguridad global de redes. Es imperativo que tanto empresas como usuarios prioricen la retirada de hardware obsoleto y refuercen la monitorización de infraestructuras, anticipándose a futuras oleadas de ciberamenazas cada vez más automatizadas y sofisticadas.

(Fuente: feeds.feedburner.com)