Hackean más de 9.000 routers Asus con una técnica que sobrevive a reinicios
Miles de routers Asus han sido vulnerados por una amenaza conocida como AyySSHush, una red de bots descubierta recientemente que ha encendido las alarmas en la comunidad de ciberseguridad.
Detectada en marzo de 2025 por la firma GreyNoise, esta operación se caracteriza por su sigilo, persistencia y una metodología avanzada que evita el uso de malware convencional.
A diferencia de otras amenazas, AyySSHush no requiere la instalación de software malicioso. En su lugar, los atacantes abusan de funciones legítimas del firmware del router para obtener control remoto. La puerta trasera que instalan no puede eliminarse mediante actualizaciones de firmware estándar, lo que agrava aún más la situación.
La campaña comienza con intentos de acceso por fuerza bruta y el aprovechamiento de vulnerabilidades de autenticación aún no documentadas oficialmente. Algunas de estas vulnerabilidades ni siquiera tienen asignados identificadores CVE. Una vez dentro, los ciberdelincuentes explotan la vulnerabilidad CVE-2023-39780 para ejecutar comandos en el sistema del router.
El acceso remoto se mantiene al escribir claves SSH en la memoria no volátil (NVRAM), lo que garantiza que la puerta trasera persista incluso tras reinicios o actualizaciones del dispositivo. Además, los atacantes desactivan funciones como el registro de eventos y el sistema de seguridad AiProtection para evitar ser detectados.
Los atacantes activan el acceso SSH en el puerto TCP 53282, no estándar, e introducen sus propias claves públicas SSH. De esta forma obtienen control administrativo completo del dispositivo, aprovechando funciones oficialmente disponibles en los routers Asus.
Según datos de Censys, una plataforma que monitoriza dispositivos conectados a internet, ya se han identificado más de 9.000 routers Asus afectados. GreyNoise, por su parte, ha confirmado que estos dispositivos están siendo activamente atacados o explotados, lo que revela el alcance real de la campaña.
La detección inicial fue posible gracias a Sift, una herramienta de análisis potenciada por IA desarrollada por GreyNoise. El sistema identificó apenas tres solicitudes HTTP POST sospechosas que permitieron descubrir la campaña. Durante tres meses, solo se registraron 30 solicitudes maliciosas, una muestra del sigilo con el que opera AyySSHush.
Asus ha lanzado una actualización de firmware que corrige la vulnerabilidad CVE-2023-39780 y algunas técnicas de autenticación no documentadas. Sin embargo, si el dispositivo ya ha sido comprometido, esta actualización no eliminará la puerta trasera instalada en la NVRAM.
Para garantizar la seguridad, se recomienda a los usuarios realizar las siguientes acciones adicionales:
- Comprobar si hay acceso SSH activo en el puerto TCP 53282.
- Revisar el archivo
authorized_keysen busca de entradas desconocidas. - Bloquear direcciones IP sospechosas vinculadas a la campaña.
- Realizar un restablecimiento de fábrica completo del router.
- Reconfigurar el dispositivo manualmente tras el reinicio.
El caso de AyySSHush demuestra un nivel avanzado de planificación y conocimiento técnico por parte de los atacantes. Aprovechar funciones del propio firmware para establecer una puerta trasera persistente sin dejar rastro en los registros es una táctica especialmente peligrosa. Este incidente destaca la necesidad de adoptar medidas más allá de las actualizaciones automáticas y de estar al tanto de las amenazas emergentes que afectan a los dispositivos conectados.
