華碩路由器爆發WrtHug攻擊事件，數萬台舊款設備遭鎖定曝險

根據 The Hacker news 報導，一項名為「WrtHug 行動」（Operation WrtHug）的全球性網路間諜活動正在蔓延，該行動主要針對華碩（ASUS）已停止支援（End-of-Life, EoL）的舊款路由器進行大規模攻擊。

這起攻擊行動在過去六個月內已造成全球超過 5 萬個 IP 位址受害，值得注意的是，受害裝置中有高達 30% 至 50% 位於台灣，其餘則分布於美國、俄羅斯、東南亞及歐洲等地。攻擊者利用多項已知漏洞取得裝置控制權，將這些家用或小型辦公室路由器串連成龐大的間諜網路。

鎖定 AiCloud 服務與六大資安漏洞

分析顯示 WrtHug 行動主要針對華碩路由器內建的 AiCloud 專有服務進行攻擊。駭客利用了至少 6 個已知的安全性漏洞（CVE）來取得初始存取權限，進而植入惡意程式。

這些漏洞多數屬於作業系統命令注入（OS Command Injection）類型，包含下列 CVE 編號：

CVE-2023-41345

CVE-2023-41346

CVE-2023-41347

CVE-2023-41348

CVE-2023-39780（嚴重性評分為 8.8）

CVE-2024-12912

CVE-2025-2492

攻擊者透過串連命令注入與身分驗證繞過技術，成功在受駭裝置上部署持久性的後門程式。為了確保惡意程式在裝置重新啟動或韌體更新後仍能存活，駭客甚至濫用 SSH 等路由器內建的合法功能，使後門在重開機或韌體更新後仍能持續存在。

資安研究人員發現，所有受感染的裝置都共用一張效期長達 100 年的自簽署 TLS 憑證（起始日為 2022 年 4 月），這成為追蹤此攻擊行動的關鍵指標。

疑似中國駭客組織幕後操作

SecurityScorecard 團隊評估認為，WrtHug 行動可能是與中國相關的威脅行為，雖呈現 ORB（Operational Relay Box) 行動特徵，但目前尚無法確認其完全屬於 ORB 類型。這類行動通常由國家資助的駭客組織執行，目的是利用受駭裝置作為跳板，隱藏其真實來源以擴大全球間諜活動的深度與廣度。

此外，WrtHug 所使用的攻擊技術與另一個被稱為「AyySSHush」的中國殭屍網路行動有高度重疊，特別是兩者皆利用了 CVE-2023-39780 漏洞進行擴散。雖然目前尚無直接證據證實兩者由同一組織操作，但地緣政治目標與攻擊手法的相似性引發了資安專家的關注。

受影響之華碩路由器型號列表

根據報告內容，以下華碩路由器型號已被確認為本次攻擊的主要目標：

ASUS Wireless Router 4G-AC55U

ASUS Wireless Router 4G-AC860U

ASUS Wireless Router DSL-AC68U

ASUS Wireless Router GT-AC5300

ASUS Wireless Router GT-AX11000

ASUS Wireless Router RT-AC1200HP

ASUS Wireless Router RT-AC1300GPLUS

ASUS Wireless Router RT-AC1300UHP

華碩官方釋出資安公告與舊款設備處置建議

針對此次大規模攻擊行動，華碩安全團隊已在官方產品安全公告頁面發布說明，並針對已列入停止支援清單（End-of-Life Product List）的產品提出具體處置方案。由於 WrtHug 行動利用了 CVE-2023-39780 及 AiCloud 等已知漏洞，官方建議用戶應參照以下標準程序進行防護：

1、檢視產品支援狀態與韌體版本

用戶應優先前往華碩官方網站查詢手邊設備是否已列入停止支援清單。即便是舊款機型，仍應檢查是否已安裝該型號發布的最後一版韌體，以確保具備基礎的安全性修補。若懷疑裝置已遭入侵，建議先按壓重置鍵（Reset）進行原廠重置，清除可能存在的惡意設定後再進行更新。

2、停用高風險服務以阻斷攻擊鏈

對於無法持續獲得安全性更新的設備，華碩官方建議採取最嚴格的設定調整，以降低被駭客利用的風險。用戶應進入路由器管理介面執行以下操作：

3、關閉 AiCloud 功能與外部存取服務

停用所有個人雲端硬碟及相關遠端存取服務，這是此次攻擊的主要入侵點。
停用外部網路存取，關閉「從網際網路設定（Web Access from WAN）」功能，避免管理介面暴露於公網。
阻斷非必要通訊協定，包含 SSH、Telnet、VPN Server、FTP 以及通訊埠轉發（Port Forwarding）等功能，若無絕對必要應全數停用。

華碩部分舊版路由器的介面 ：

CyberQ 剛好有客戶也使用了華碩的路由器，新版的介面就比較好，也沒有這個憑證和漏洞的問題，安全性提示也會讓管理員儘量用得更安全。

華碩較新版本路由器的操作介面 ：

邊緣設備已成國家級駭客攻擊跳板

CyberQ 觀察，WrtHug 行動的曝光凸顯了當前資安防禦的一大盲點，即網路邊緣設備（Edge Devices）的安全性常被低估。對於國家級攻擊者而言，這些長期缺乏維護且位於監控死角的家用路由器，正是構建全球匿名攻擊網路的理想節點。

隨著駭客攻擊手法從單純的暴力破解演進為利用 N-day 漏洞進行精準打擊，使用者必須改變硬體設備只要沒壞就能繼續使用的觀念。對於已停止原廠支援的產品，落實設備生命週期管理並定期汰換過時產品，將是未來對抗這類持續性威脅的必要成本。

首圖 Google Gemini AI 生成