Die "Operation WrtHug" ist eine große Cyber-Angriffskampagne auf ASUS-Router. Wir erklären, wie sie funktioniert und man sie abwehren kann.
Router gehören zu den Geräten, die im Alltag gerne übersehen werden. Sie laufen einfach weiter, bis etwas auffällt. Genau diesen blinden Fleck nutzt die Kampagne WrtHug aus. Betroffen sind vor allem ältere ASUS-Router, deren Firmware seit langer Zeit keine Updates mehr erhalten hat. Die Analyse von SecurityScorecard zeigt ein vertrautes Muster. Angreifer setzen dort an, wo Geräte längst aus der aktiven Pflege gefallen sind.
Ein Angriff, der auf veraltete Strukturen trifft
Mehr als 50.000 ASUS-Router sollen inzwischen betroffen sein. Die meisten davon stehen in Taiwan, Südostasien, Russland, Europa und den USA. Auffällig ist eher, wo Angriffe ausbleiben. Geräte in China tauchen in den Analysen kaum auf. Dies kann auf eine bewusste Auswahl oder auf andere Rahmenbedingungen hindeuten. Ein großer Teil der kompromittierten Geräte steht in Taiwan, was den regionalen Fokus der Kampagne weiter unterstreicht.
Einige Sicherheitsforscher ziehen zusätzlich Nordkorea in Betracht. Gruppen wie Lazarus oder Kimsuky sind seit Jahren dafür bekannt, Router zu kompromittieren und sie als verdeckte Relais einzusetzen. Das ist nicht offiziell bestätigt. Es ist aber ihr bekanntes Muster und passt auch zu ihrer sonstigen Arbeitsweise.
Viele der betroffenen Router hängen auf veralteten Firmware-Versionen fest, für die es keine Updates mehr gibt. Modelle wie der 4G AC55U, der GT AX11000 oder der RT AC1200HP gehören seit Jahren nicht mehr zu den Geräten, für die ASUS Sicherheitsupdates veröffentlicht.
Die Angreifer nutzen eine Reihe bekannter Schwachstellen, darunter CVE 2023 41345, CVE 2023 41346, CVE 2023 41348, CVE 2024 12912 und CVE 2025 2492, sowie inzwischen auch CVE 2025 59367. Das ist zwar noch nicht offiziell bestätigt, fügt sich technisch aber gut in das Gesamtbild ein.
Eine zentrale Rolle spielt der AiCloud-Dienst. Viele Nutzer haben ihn früher aktiviert und nie wieder beachtet. Auf kompromittierten Geräten findet sich fast immer dasselbe selbst signierte Zertifikat, das bis ins Jahr 2122 gültig ist. Es gilt inzwischen als der zuverlässigste Hinweis darauf, dass ein Gerät längst nicht mehr unter der eigenen Kontrolle steht.
Eine Infrastruktur aus vergessenen Geräten
WrtHug nutzt die betroffenen Router nicht nur als einfache Bots. Viele von ihnen dienen als verdeckte Relaisstationen, sogenannte ORB-Knoten. Über diese lassen sich Datenströme verschleiern oder ganze Abläufe anonym weiterleiten. Die Router werden so zu stillen Teilen einer Infrastruktur, die niemand freiwillig unterstützen möchte.
Auffällig ist auch die Nähe zu einer älteren Operation namens AyySSHush. Einige IP-Adressen tauchen in beiden Kampagnen auf, was auf eine Weiterverwendung oder Weiterentwicklung der damaligen Werkzeuge hindeutet.
Die Sicherheitsforscher von GreyNoise beschreiben zudem, dass die Angreifer ihre Zugänge durch eigene SSH-Schlüssel und Startskripte absichern, die selbst Neustarts und manche Updates überstehen. Ein kompromittierter Router bleibt somit langfristig Teil des Netzes. Das gilt selbst dann noch, wenn der Besitzer ihn neu startet.
Mehrere Analysen vermuten eine staatliche Beteiligung oder zumindest eine staatlich begünstigte Kampagne. Die Kombination aus regionalem Fokus, technischen Mustern und verdeckten Relay-Strukturen passt zu früheren Aktionen chinesischer Gruppen. Es gibt dafür natürlich keine Bestätigung, doch dieser Hinweis taucht immer wieder auf.
ASUS hat für einige noch unterstützte Modelle Updates veröffentlicht. Für viele der betroffenen Geräte hilft das jedoch nicht, da ihr Support schon lange ausgelaufen ist. Genau diese Modelle bilden den Kern der Angriffe.
Was das für das eigene Zuhause bedeutet
Wer zu Hause eigene Dienste betreibt, verlässt sich darauf, dass der Router zuverlässig funktioniert. Dass er selten gepflegt wird, fällt meist erst auf, wenn es zu spät ist. Ein kompromittierter Router beeinträchtigt nicht nur die Verbindung nach außen. Er beeinflusst den gesamten Datenverkehr im Netz.
Worauf man beim eigenen ASUS-Router achten muss
Es lohnt sich deshalb, einen kurzen Blick auf ein paar grundlegende Punkte zu werfen. Erhält das eigene Gerät noch Updates? Ist AiCloud unnötig aktiv? Tauchen ungewöhnliche Zertifikate mit extrem langer Laufzeit im System auf? Ist das Netzwerk klar strukturiert? Hat der Router nicht überall Zugriff? Erscheinen plötzlich Verbindungen zu Hosts, die zuvor nie im Log standen?
Viele der betroffenen Geräte hätten längst ersetzt oder neu eingerichtet werden können. WrtHug ist weniger eine technische Meisterleistung als das Ergebnis jahrelanger Vernachlässigung der Besitzer der ASUS-Router. Ein Gerät, das niemand beachtet, wird irgendwann zum Risiko für alles, was daran hängt.
Ein absehbarer Angriff auf die ASUS-Router
WrtHug nutzt keine spektakulären Zero-Days. Sein Erfolg basiert auf Geräten, die über Jahre ohne jede Pflege ungeschützt im Netz stehen. Router gelten als selbstverständlich funktionierende Komponenten und erhalten erst Aufmerksamkeit, wenn sie ausfallen. Genau das macht sie zu einem der schwächsten Glieder. In dem Fall müssen Angreifer nicht kreativ sein. Sie nutzen lediglich die Lücken, die man selbst offengelassen hat.
