僵尸网络入侵 9000 多台华硕路由器，添加持久 SSH 后门

网络安全公司GreyNoise披露，新型僵尸网络“AyySSHush”已入侵全球超9000台华硕路由器，并同步针对思科、D-Link等品牌的SOHO设备。该活动最早于2025年3月中旬被发现，攻击手法呈现国家级黑客组织特征。

攻击者采用三重渗透策略：

1. 暴力破解：尝试常见弱口令组合
2. 身份验证绕过：利用老旧漏洞突破防线
3. 漏洞利用：重点针对华硕RT-AC3100、RT-AC3200及RT-AX55型号设备，通过命令注入漏洞CVE-2023-39780植入SSH公钥

值得注意的是，攻击者通过官方功能添加密钥，使得配置更改在固件升级后仍保留。后门程序将SSH守护进程绑定至非常规端口53282，同时关闭系统日志与趋势科技AiProtection防护功能，实现隐蔽驻留。

法国安全公司Sekoia追踪的“Vicious Trap”活动与该僵尸网络存在技术重叠。攻击者除路由器外，还针对SSL VPN、DVR设备及基板管理控制器实施入侵。观察到恶意脚本通过重定向受控设备流量至第三方节点，但尚未发现DDoS攻击或流量代理行为，推测其正构建基础设施为后续攻击铺路。

华硕已发布受影响型号固件更新（具体发布时间因型号而异），建议用户：

1. 立即升级至最新固件版本
2. 检查路由器“authorized_keys”文件是否包含攻击者SSH密钥（IoC列表参见原文）
3. 将关联IP地址（101.99.91[.]151等四组）加入防火墙黑名单
4. 如遇可疑活动，执行恢复出厂设置并采用高强度密码重新配置

GreyNoise监测数据显示，过去三个月仅捕获30次恶意请求，但成功入侵设备达九千余台，显示攻击具备高度精准性。研究人员提醒，传统固件升级无法清除已植入的后门，彻底排查需结合日志审计与密钥验证。