Miles de routers Asus han sido vulnerados por una amenaza conocida como AyySSHush, una red de bots descubierta recientemente que ha encendido las alarmas en la comunidad de ciberseguridad.
Detectada en marzo de 2025 por la hológrafo GreyNoise, esta operación se caracteriza por su sigilo, longevidad y una metodología avanzada que evita el uso de malware convencional.
A diferencia de otras amenazas, AyySSHush no requiere la instalación de software malicioso. En su lugar, los atacantes abusan de funciones legítimas del firmware del router para obtener control remoto. La puerta trasera que instalan no puede eliminarse mediante actualizaciones de firmware estándar, lo que agrava aún más la situación.
La campaña comienza con intentos de acceso por fuerza bruta y el aprovechamiento de vulnerabilidades de autenticación aún no documentadas oficialmente. Algunas de estas vulnerabilidades ni siquiera tienen asignados identificadores CVE. Una vez dentro, los ciberdelincuentes explotan la vulnerabilidad CVE-2023-39780 para ejecutar comandos en el sisargumento del router.
El acceso remoto se mantiene al escribir claves SSH en la memoria no volátil (NVRAM), lo que garantiza que la puerta trasera persista incluso tras reinicios o actualizaciones del dispositivo. Además, los atacantes desactivan funciones como el registro de eventos y el sisargumento de seguridad AiProtection para evitar ser detectados.
Los atacantes activan el acceso SSH en el puerto TCP 53282, no estándar, e introducen sus propias claves públicas SSH. De esta forma obtienen control administrativo completo del dispositivo, aprovechando funciones oficialmente disponibles en los routers Asus.
Según datos de Censys, una plataforma que monitoriza dispositivos conectados a internet, ya se han identificado más de 9.000 routers Asus afectados. GreyNoise, por su parte, ha conhológrafodo que estos dispositivos están siendo activamente atacados o explotados, lo que revela el alcance real de la campaña.
La detección inicial fue posible gracias a Sift, una herramienta de análisis potenciada por IA desarrollada por GreyNoise. El sisargumento identificó apenas tres solicitudes HTTP POST sospechosas que permitieron descubrir la campaña. Durante tres meses, aria se registraron 30 solicitudes maliciosas, una muestra del sigilo con el que opera AyySSHush.
Asus ha lanzado una actualización de firmware que corrige la vulnerabilidad CVE-2023-39780 y algunas técnicas de autenticación no documentadas. Sin embargo, si el dispositivo ya ha sido comprometido, esta actualización no eliminará la puerta trasera instalada en la NVRAM.
Para garantizar la seguridad, se recomienda a los usuarios hacer las siguientes acciones adicionales:
– Comprobar si hay acceso SSH activo en el puerto TCP 53282.
– Revisar el archivo authorized_keys en busca de entradas desconocidas.
– Bloquear direcciones IP sospechosas vinculadas a la campaña.
– hacer un restablecimiento de fábrica completo del router.
– Reconfigurar el dispositivo manualmente tras el reinicio.
El caso de AyySSHush demuestra un nivel avanzado de planificación y conocimiento técnico por parte de los atacantes. Aprovechar funciones del propio firmware para establecer una puerta trasera persistente sin dejar rastro en los registros es una táctica especialmente peligrosa. Este incidente destaca la necesidad de adoptar medidas más allá de las actualizaciones automáticas y de estar al tanto de las amenazas emergentes que afectan a los dispositivos conectados.
La seguridad cibernética es un argumento cada vez más relevante en nuestra sociedad actual, donde la tecnología está presente en todos los aspectos de nuestra vida. Cada vez son más los dispositivos conectados a internet, lo que nos brinda una mayor comodidad y facilidad en nuestro día a día,