Una grave minaccia alla sicurezza informatica sta coinvolgendo migliaia di utenti ASUS in tutto il mondo, stando a quanto riportato una silenziosa botnet, ribattezzata AyySSHush, ha già compromesso più di 9.000 router ASUS, sfruttando una combinazione di tecniche sofisticate che permettono agli attaccanti di mantenere l’accesso al dispositivo anche dopo aggiornamenti del firmware e riavvii.
Un allarme che non riguarda solo gli utenti più esperti, ma anche e soprattutto quanti utilizzano i router domestici ASUS come soluzioni plug and play per connettività stabile e veloce; la minaccia si mostra ben più profonda e subdola di quanto possa sembrare a primo impatto.
Oltre 9.000 router ASUS colpiti da una botnet e da una backdoor persistente
La botnet AyySSHush è stata scoperta nel mese di marzo 2025 dalla società di sicurezza GreyNoise e, secondo gli analisti, sfrutta un mix letale di tecniche di attacco: da un lato tentativi di accesso brute force e bypass di autenticazione (alcuni dei quali non documentati né tracciati da CVE); dall’altro l’exploit della vulnerabilità CVE-2023-39780, nota per consentire iniezioni di comandi arbitrari a livello di sistema operativo del router.
Una volta ottenuto l’accesso, gli attaccanti manipolano legittimamente la configurazione del router sfruttando funzionalità ufficiali del firmware, evitando quindi l’uso di malware tradizionali; ed è qui che il problema diventa davvero critico, attraverso la memoria volatile (NVRAM) gli aggressori scrivono modifiche persistenti, come l’abilitazione di un server SSH su una porta non standard (TCP 53282) e l’inserimento di una propria chiave pubblica SSH, garantendosi il controllo remoto del dispositivo in modo totalmente invisibile all’utente.
Come se non bastasse, una volta compromesso il router ASUS, l’attaccante disattiva il log di sistema e le funzionalità di sicurezza, rendendo di fatto impossibile l’individuazione di attività sospette tramite gli strumenti di diagnostica standard; questo approccio silenzioso ha permesso alla botnet di passare inosservata per mesi, nonostante l’ampiezza dell’attacco.
Non a caso lo strumento Sift di GreyNoise, basato sull’intelligenza artificiale, ha identificato solo 30 richieste sospette in oltre tre mesi, pur avendo scoperto la compromissione di oltre 9.000 router ASUS anche grazie all’incrocio dei dati con Censys, piattaforma specializzata nel monitoraggio dei dispositivi esposti a internet.
Come spesso accade in questi casi, la risposta di ASUS non si è fatta attendere, l’azienda ha rilasciato un nuovo aggiornamento firmware che corregge la vulnerabilità CVE-2023-39780 e chiude i bypass di autenticazione iniziali; tuttavia, l’aggiornamento non è in grado di rimuovere la backdoor SSH se il router è già stato compromesso, proprio perché le modifiche sono registrate nella NVRAM e non vengono sovrascritte durante un aggiornamento standard del firmware.
Alla luce di questa situazione, aggiornare il firmware è necessario ma non sufficiente, per proteggere efficacemente il proprio dispositivo, ASUS consiglia una serie di azioni manuali, tra cui:
- verificare se il servizio SSH è attivo sulla porta TCP 53282
- controllare il file authorized_keys alla ricerca di voci sospette o non familiari
- bloccare IP associati alla campagna malevola tramite le impostazioni del firewall del router (101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237)
- se si sospetta che il proprio router sia stato compromesso, eseguire un reset completo alle impostazioni di fabbrica e riconfigurare da zero il dispositivo, evitando il ripristino da backup potenzialmente infetti
- utilizzare una password di almeno dieci caratteri, che includa lettere maiuscole e minuscole, numeri e simboli
- per i dispositivi che non ricevono più aggiornamenti del firmware disabilitare tutte le funzionalità di accesso remoto come SSH, DDNS, AiCloud o Web Access da WAN
Secondo gli esperti di GreyNoise le modalità di attacco mostrano un elevato livello di competenza tecnica, una conoscenza approfondita dell’architettura dei router ASUS e una chiara intenzione di mantenere il controllo per lungo tempo, circostanza che fa pensare a una possibile strategia di attacco mirata o a un’infrastruttura botnet per utilizzi futuri (come attacchi DDoS, esfiltrazione dati o pivoting su reti interne).
Quanto emerso da questa campagna dimostra, ancora una volta, quanto fragile possa essere la sicurezza dei router domestici, spesso trascurati dagli utenti e lasciati con impostazioni predefinite o firmware non aggiornati; la botnet AyySSHush rappresenta una minaccia concreta, sofisticata e difficile da eliminare, e impone una maggiore attenzione da parte di utenti e produttori.
Chi tra voi utilizza un router ASUS farebbe bene a effettuare un controllo dello stato del dispositivo, e adottare tutte le misure suggerite per evitare il rischio di compromissione.
- Migliori router e modem router del mese: ecco i nostri consigli
- ASUS partecipa al COMPUTEX 2025: tante novità e focus sull’IA
- ASUS ROG è protagonista al COMPUTEX 2025: tante novità per i videogiocatori
- ASUS regala DOOM: THE DARK AGES con i prodotti ROG, c’è anche ROG Astral RTX 5080 DOOM EDITION Bundle
I nostri contenuti da non perdere:
- 🔝 Importante: Amazon chiarisce che Fire TV non passerà a Vega OS ma resterà su Fire OS ancora a lungo
- 💻 Scegli bene e punta al sodo: ecco le migliori offerte MSI notebook business Black Friday 2025
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo