打补丁没用？大量华硕路由器被“国家级僵尸网络”收编

GoUpSec点评：面对国家级黑客的降维打击，“华硕僵尸网络”暴露出的消费级WiFi路由器的安全技术债和潜在威胁值得所有人反思和重视。

近日，一场悄无声息的网络战级别的网络攻击，正悄悄盯上你家里的路由器。

据网络威胁监测公司 GreyNoise 披露，一种新型僵尸网络“AyySSHush”正在全球范围内大规模感染华硕路由器，试图关闭杀毒安全防护功能，并借机植入持久性 SSH 后门，让攻击者悄然控制设备，组成规模庞大的僵尸网络（部队）。

截至目前，GreyNoise 通过 Censys 搜索发现，受感染的路由器已经超过 8000 台，而这只是冰山一角。

利用旧漏洞的“隐身攻击”

GreyNoise 表示，这波攻击最初从简单的暴力破解开始，随后迅速演变为复杂的认证绕过攻击。攻击者利用数年前的漏洞（如 CVE-2023-39780）对华硕多个热门机型发起攻击，包括：

• RT-AC3100
• RT-AC3200
• RT-AX55（Wi-Fi 6 路由器，至今仍热销）

攻击链条中，攻击者执行了一系列命令，包括启用 SSH 服务、绑定到 TCP/53282 端口，并植入恶意公钥，实现对路由器的独占远程控制。

令人震惊的是，这一 SSH 后门是通过“官方设置”实现的——即使你升级固件，依然无法删除后门。因为配置被写入了 NVRAM，补丁打了也没用，没有可执行文件、没有日志记录，几乎隐形。

攻击者的目标很明确：关掉你的安全防线。

GreyNoise 报告指出，仅通过 三个 HTTP POST 请求，攻击者就能：

• 关闭路由器的日志记录；
• 禁用 Trend Micro 提供的 AiProtection 功能；
• 植入 SSH 后门。

整个过程专挑默认配置的设备下手，丝毫不留痕迹。被感染的用户可能压根儿不知道自家网络已经被黑。

谁在背后操控 “华硕僵尸网络部队”？

虽然 GreyNoise 并未公开归属攻击者身份，但其副总裁 Bob Rudis 提出：“这一攻击链展现了高水平、资源丰富的对手手法。”有国外网络安全专家在社交媒体暗示攻击者可能与“Typhoon 系列”的攻击组织有关——这是微软对某国家级黑客组织的命名规则，如“Salt Typhoon”、“Volt Typhoon”等。

Sekoia（法国安全研究机构）在同期发布了类似名为“ViciousTrap”的研究，指出攻击者疑似“中文使用者”，目标范围更广，涵盖 VPN、DVR、BMC 控制器等设备。

但是上述归因都缺乏实质证据，更多是西方安全专家政治正确的“地缘技术偏见”。

不过，尽管技术细节略有出入，但两个独立团队都追踪到了 2025 年 3 月的攻击活动，显示这可能是一次协调良好的大规模网络战行动。

对于普通华硕路由器用户来说，无论攻击来自何方，危机尚未解除，入户玄关上摆放的华硕路由器随时有可能被“僵尸网络部队”抓了壮丁。

虽然华硕已经在最新固件中修复了 CVE-2023-39780 和部分认证绕过漏洞，GreyNoise 也提供了入侵指标供检测。但问题是：

固件更新 ≠ 清除后门。

如果你怀疑自己可能中招，或者不懂如何检查，唯一的解决办法是：

执行一次“出厂重置”（Factory Reset）

这将清除存储在 NVRAM 中的恶意 SSH 配置。

写在最后

这场“隐身攻击”的目标是数以千计的家用和小型办公网络，网络安全专家暗示该攻击背后可能藏着比我们想象中更大的网络战计划。AyySSHush 可能只是序章，如果它真的是网络战的一部分，那么面对国家级黑客的降维打击，“华硕僵尸网络”暴露出的消费级WiFi路由器的安全技术债和潜在重大威胁值得所有人反思和重视。

END