摘要：GreyNoise 于 2025 年 3 月 18 日首次发现了一起针对 ASUS 路由器的大规模攻击活动。由于需要与政府和行业伙伴协调通报流程，GreyNoise 延迟了该事件的公开披露。这场攻击的特点是隐蔽性极强，攻击者已对数千台暴露在互联网上的 ASUS

网络攻击

GreyNoise 于 2025 年 3 月 18 日首次发现了一起针对 ASUS 路由器的大规模攻击活动。由于需要与政府和行业伙伴协调通报流程，GreyNoise 延迟了该事件的公开披露。这场攻击的特点是隐蔽性极强，攻击者已对数千台暴露在互联网上的 ASUS 路由器获取了未经授权的、持久的远程访问权限。这一行动疑似是为构建一个分布式后门设备网络做准备，未来可能演变为一场大型的僵尸网络攻击。

该攻击活动展现出高度的专业性和长期潜伏意图，其入侵手法包括绕过身份验证机制、利用已知的漏洞执行命令，并通过系统自带功能维持控制权限。这些战术与高度成熟的持续性攻击组织（APT）以及“中继操作盒”网络的技术手段相当一致。GreyNoise 并未对此次攻击进行归属判断，但其所展现的技术水准和隐蔽程度已超过一般的网络攻击行为，极有可能是由资源充足、具备高级作战能力的攻击方所发起。

攻击者的控制权限可以在设备重启乃至固件升级后仍然保留，表明其具备深度控制能力。这种持久化访问是通过组合利用弱口令暴力破解、身份验证绕过（部分方法未被分配 CVE 编号）、以及 CVE-2023-39780 命令注入漏洞实现的。更值得警惕的是，攻击者并未植入传统意义上的恶意软件，而是利用 ASUS 官方功能开启 SSH 服务、更改配置，并将自定义公钥写入 NVRAM（非易失性内存），确保配置不会因升级或重启而被清除。同时，攻击者会在操作前关闭日志记录功能，从而在系统中几乎不留下任何可见痕迹。

这项发现的关键在于 GreyNoise 自主研发的 AI 驱动网络负载分析系统 “Sift”。该工具成功识别出全球网络流量中的几个 HTTP POST 请求，这些请求极为微弱且不易察觉，目标指向 ASUS 路由器的特定接口。通过配合 GreyNoise 的 ASUS 路由器仿真环境和数据包捕获能力，研究人员不仅重现了完整攻击流程，还验证了后门的植入方式与持久化机制。如果没有 Sift 和仿真环境的帮助，这种利用官方功能实施的无痕入侵极有可能长期不被察觉。

整个攻击链条分为四个阶段。首先是初始访问，攻击者通过暴力破解以及两个身份绕过漏洞进入系统；第二步是命令执行，他们借助 CVE-2023-39780 注入命令实现控制；第三阶段是持久化设置，攻击者通过开启 SSH 服务、加入攻击者自定义的公钥并写入 NVRAM，从而维持控制权限；最后是隐蔽阶段，攻击者关闭日志功能，并未在系统中植入恶意程序，从而大幅提高了隐蔽性。

截至 2025 年 5 月 27 日，根据 Censys 提供的全球资产扫描数据，已有近 9000 台 ASUS 路由器确认受到影响，且被入侵的数量仍在持续增长。而 GreyNoise 自身传感器仅在三个月内监测到相关请求 30 次左右，表明攻击者极为克制并刻意规避引起注意的流量波动。

本次攻击活动中所涉及的四个恶意 IP 地址分别为：101.99.91.151、101.99.94.173、79.141.163.179 和 111.90.146.237。攻击者开启了一个不常见的 SSH 后门端口 TCP/53282，并插入了一串自定义的 SSH 公钥（开头为 ssh-rsa AAAAB3...）。尽管 ASUS 已在固件更新中修复了 CVE-2023-39780 漏洞，并默默修补了部分认证绕过方式，但由于攻击者的配置存储在 NVRAM 中，固件升级并不会清除已有的后门。

这是一起高度隐蔽、技术成熟、准备充分的长期攻击行动，也再次提醒我们，即便是“无恶意软件”的入侵，也足以让网络设施陷入重大风险之中。

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧！

来源：小轩科技观