Un nouveau rapport de la société GreyNoise vient de révéler une campagne de piratage particulièrement discrète, mais diablement efficace. En exploitant une faille déjà corrigée (CVE-2023-39780) sur certains modèles de routeurs ASUS, des attaquants ont réussi à s’infiltrer dans plus de 9 000 appareils, à activer un accès SSH persistant… et à er totalement sous les radars pendant plusieurs mois. 5q3r2c
Pas de ransomware, pas de malwares visibles, aucun journal d’activité : tout a été conçu pour que la compromission reste invisible. Et même si ASUS a publié un correctif, il ne suffit pas à réparer les dégâts si l’appareil a déjà été infecté. Pire encore, les modifications survivent à la mise à jour du firmware et au redémarrage du routeur. Bref, si vous avez un routeur ASUS chez vous, il est peut-être grand temps de vérifier s’il ne fait pas partie du lot…
Une attaque en toute discrétion… mais redoutablement bien pensée z3y56
Selon les chercheurs de GreyNoise, la campagne a démarré en mars 2025, mais elle est restée invisible pendant des semaines. Ce n’est qu’après l’analyse de trois requêtes HTTP un peu suspectes que l’alerte a été donnée. Derrière ces requêtes, un script qui vise directement l’interface d’istration des routeurs ASUS exposés sur Internet.
Les modèles les plus concernés sont les suivants :
- RT-AC3100
- RT-AC3200
- RT-AX55
Mais d’autres modèles pourraient être affectés. Les pirates utilisent plusieurs méthodes pour s’introduire dans l’appareil :
- des attaques par force brute pour deviner les identifiants ;
- deux techniques de contournement de l’authentification qui n’ont pas encore de numéro CVE ;
- et surtout une faille connue, référencée sous le nom CVE-2023-39780, qui permet d’exécuter des commandes à distance.
Une fois dans la place, les attaquants activent un service SSH sur un port non standard (T/53282) et injectent leur propre clé publique dans le fichier authorized_keys. Ainsi, ils peuvent revenir se connecter quand ils veulent, même après un redémarrage ou une mise à jour du routeur. Et comme tout e par des fonctions natives du firmware ASUS, impossible de soupçonner une activité anormale.
Un accès persistant, même après mise à jour ou redémarrage 2e1c1v
C’est l’un des aspects les plus inquiétants de cette attaque : le backdoor mis en place est tenace. Une fois la clé SSH injectée, elle est enregistrée dans la mémoire NVRAM du routeur. Cette mémoire n’est pas effacée lors d’un redémarrage ou d’une mise à jour du firmware. Autrement dit, même si vous installez la dernière version du micrologiciel d’ASUS, l’accès pirate reste actif. Et comme les logs sont désactivés par le script, il n’y a aucune trace de cette intrusion.
Cerise sur le routeur : aucune charge malveillante n’est déployée. Pas de virus, pas de fichier suspect, rien à analyser. Le routeur fonctionne normalement en apparence. Cette discrétion extrême suggère une opération menée par des acteurs très organisés, voire par un groupe lié à un État. GreyNoise parle d’un niveau de sophistication proche des APT (Advanced Persistent Threats), mais sans pointer de responsable précis.
En parallèle, un autre rapport signé Sekoia évoque un groupe nommé ViciousTrap, déjà connu pour des attaques similaires sur des routeurs Cisco. Selon eux, cette opération viserait à constituer un réseau de routeurs compromis, probablement pour en faire une base de relais ou préparer une future botnet. Pour l’instant, aucun signe d’attaque DDoS ou d’exploitation visible, mais les machines restent aux mains des attaquants… et ça, c’est rarement bon signe.
Comment vérifier si votre routeur ASUS est compromis 5y5z2f
Si vous possédez un routeur ASUS, il est vivement conseillé de faire quelques vérifications sans attendre. Voici ce que vous pouvez faire :
- Connectez-vous à l’interface d’istration de votre routeur (généralement via 192.168.1.1 ou 192.168.50.1 dans un navigateur).
- Rendez-vous dans le menu « istration », puis cliquez sur l’onglet « Système ».
- Descendez jusqu’à la section « Service » et vérifiez si l’option « Enable SSH » est activée.
- Si le service est actif, jetez un œil au port configuré (s’il s’agit du port 53282, ce n’est pas bon signe).
- Si vous avez accès au système de fichiers du routeur, consultez le fichier
authorized_keyspour voir si une clé SSH inconnue s’y trouve, elle commence par :
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...- Mettez à jour le firmware de votre routeur si ce n’est pas déjà fait. ASUS a corrigé la faille CVE-2023-39780 dans ses dernières versions.
Si vous détectez une activité suspecte, le seul moyen fiable d’effacer totalement le backdoor est de :
- faire un reset d’usine complet du routeur (attention, cela efface toutes vos configurations),
- puis reconfigurer manuellement votre connexion avec un mot de e fort.
Enfin, vous pouvez aussi bloquer les adresses IP identifiées comme impliquées dans cette campagne :
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237En résumé o443p
Si vous utilisez un routeur ASUS, prenez le temps de vérifier qu’il n’a pas été compromis. Un service SSH activé sur le port 53282, une clé inconnue dans le fichier authorized_keys ou simplement l’absence de mise à jour récente peuvent suffire à laisser une porte ouverte.
Le plus inquiétant, c’est que ce type d’attaque e complètement inaperçu. Pas de fichier suspect, pas de lenteur visible, rien. Et même après une mise à jour, le backdoor peut rester actif.
Alors oui, c’est un peu galère de réinitialiser son routeur et tout reconfigurer… mais ça reste la seule solution fiable pour repartir sur une base propre. Mieux vaut le faire maintenant que de découvrir plus tard que votre connexion sert de relai à une opération que vous ne contrôlez pas.
Source : Bleeping Computer
A cela il faut ajouter en récent (car il y en a eu d’autres par le é)
https://9to5mac.com/2025/05/29/in-the-market-for-a-new-router-here-are-13-models-to-avoid-according-to-the-fbi/
Même si ceux ci sont « relativement » anciens (Ce sont des Linksys sous la marque Cisco… Au age Cisco travaille main dans la main avec .. La NSA)