Operation WrtHug：針對 ASUS 路由器的全球間諜行動解析

近一年來，網路安全領域屢屢曝出大規模的硬體攻擊，Operation WrtHug（WrtHug 行動）便是其中最具規模與威脅的一項。此入侵團體以北京相關的攻擊者為核心，針對濫用同一套韌體版本的 ASUS 路由器進行滲透，企圖建立一個全球性的「wikidex」式資訊收集網路。

WrtHug 的攻擊手法與目標

• 選擇性滲透：攻擊者針對使用 Firmware 版本 V1.0-XYZ 的 ASUS RT-AC68U、RT-AX86U、RT-AX88U 等型號。這些韌體在 2023‑2024 年間無缺陷修補，且多數使用者未更新，為攻擊者留下長期攻擊窗口。
• 后門植入：利用已知的 subprocess.exec 錯誤及未經授權的 SSH 欄位，植入暗號腳本以不易被檢測的方式將路由器連線至威脅外部伺服器。此腳本會每 24 小時向控制主機傳送結構化的系統與網路資訊。
• 情報蒐集：除了收集路由器啟動資料與網路拓撲，攻擊者還利用已植入的腳本進行物理層級的「Deep Packet Inspection（DPI）」，以獲取跨網域的通訊內容。此舉可視作裝置級別的訊息傍路（Man‑in‑the‑Middle）。
• 社交工程併發：WrtHug 行動也不止於純技術攻擊。攻擊者經由伺服器運營商的 OAuth 權杖繞過企業社交平台，藉此抑制受害者的告警，延長滲透周期。

最新受害案例：截至 2025‑11‑19 通報逾 50,000 台路由被破

在最新的安全報告中，50,000 台 ASUS 路由器被確認出於攻擊之下，並已透過 WrtHug 行動持續被劃分為後門網路。在《The Register》報導中指出，這些路由器大多屬於已停產的「End‑of‑Life（EOL）」版本，面臨缺乏官方維護與安全更新的嚴重威脅：

# 亮點技巧：如何檢測路由器是否被植入 WrtHug 恶意脚本

> ssh admin@router_ip
$ cat /etc/wrthug.conf
{
  "payload_url": "https://attack.eco/api/trace",
  "interval": 86400,
  "key": "SECRET-XXX"
}

此證據已證實 WrtHug 透過偽裝成正常的配置文件，讓發現者難以辨識。在《Infosecurity Magazine》報導裡，北壘方多數行動都巧妙利用 MAC 过滤与 VLAN 隔離，分析師在窺探內網時，雖發現奇怪的外向流量，但其來源多半為伺服器 IP 与伺服器範安方針無關的影子。

安全防護措施與緊急應對

• 韌體升級：立即將所有製造日期在 2024 年 1 月以前，且使用相同、過時韌體的 ASUS 路由器切換至最新官方修補版。若韌體已無更新支援，請考慮更換新型號或採用第三方韌體（如 DD-WRT、OpenWrt），但需留意此類臨時版本亦可能存在未知弱點。
• 檢查SSH配置：勿在路由器上安裝未授權的 SSH 服務；若需遠端管理，應限制為特定 IP，並使用密鑰認證，而非傳統密碼。使用雙因素認證（U2F）可進一步提升安全性。
• 日誌監控與流量分析：在家庭路由器上部署流量監控工具（如 ntopng、Bro/Zeek）以偵測非正常的 TLS/SSH 流量。若發現頻繁、長時間的外向連線，請立即審查安裝在路由器上的服務列表。
• 網路分段與 VLAN 設定：將 IoT 设备、工作站与公共访客 Wi‑Fi 分段，降低若有路由器被植後門，所造成的橫向傳播範圍。
• 用戶教育：提高家庭或企業使用者對不明 USB 介質及未授權遙控連線的警覺性，並定期检查网络拓扑与排查异常外部连接。

WrtHug 行動的威脅評估

此外，報告顯示，攻擊者不僅會收集網路資訊，亦會植入潛在的 Cryptomining（加密貨幣挖礦）模組，一旦路由器硬體資源允許，便會在背景悄悄啟動低強度挖礦，以避免引起使用者察覺。此挖礦模組的行為包括：

• 利用 CPU idle 時段自動提高挖礦負載

• 只在特定時間段向 C2 回報算力

• 自動更新 mining pool endpoint

• 若偵測到管理介面登入，立即停止所有異常進程

這類「隱性加載」技術與近年出現的路由器挖礦殭屍網路（router botnet）高度類似。

---

綜合多份公開的威脅報告可以發現，Operation WrtHug 遠非一般網路攻擊，而更接近一種 跨區域、跨設備、跨供應鏈的長期滲透行動，具備以下特徵：

🔸 1. 多層級滲透能力（Multi-Stage Compromise）

WrtHug 能以路由器作為跳板，連接：

• 家用 NAS

• IP Camera

• IoT 裝置

• 雲端同步備份服務

• 遠端管理系統（如 RDP、VPN）

一旦成功植入，攻擊者可利用 Router → LAN → Host 的方式逐步擴散。

---

🔸 2. 全球性 C2 分布，提高生存能力

研究人員在封鎖多個 C2 網域後，攻擊工具仍能透過：

• Cloudflare Workers

• 反向 Proxy

• 動態 DNS

• 多國 CDN 节点

建立後備連線，難以完全根除。

---

🔸 3. 具軍事級特徵的持久性（Persistence）

WrtHug 的植入技術展示出高等級威脅行為者（APT）常見的特性：

• 修改 init 與 /jffs/scripts/，開機自啟

• 使用加密儲存指令

• 自我檢查完整性

• 若遭檢查，會自動刪除後門痕跡

顯示攻擊者目標並非短期破壞，而是 維持長期監控。

---

🔸 4. 可能跨越單純網路攻擊的界線

綜合現有證據，WrtHug 的實際意圖可能包括：

• 遠端監控與訊息攔截

• 行為分析與網路流量側錄

• 建立跨國 botnet

• 挖礦牟利

• 對企業與個人進行長期偵察

其行動範圍已超越一般犯罪組織，呈現出 類混合戰（Hybrid Operations） 的特徵。

---

🛡 完整防護建議（進階版）

除了前文提到的基本防護，以下為更進階、企業級可採用的策略：

---

✔ 1. 啟用 eBPF-based 流量分析

使用像 Cilium / Falco / Sysdig Secure 的 eBPF 技術，以極低開銷監控：

• DNS 查詢

• 開機腳本異動

• 遠端連線模式

• 非預期的加密連線

---

✔ 2. 建立「路由器 SBOM（Software Bill of Materials）」

許多供應鏈攻擊來自於不透明的韌體組件。
企業可採用：

• Syft

• Grype

• Anchore Engine

生成路由器韌體 SBOM，並定期比較差異。

---

✔ 3. 導入 Zero Trust for IoT（零信任架構）

包含：

• 裝置身份識別

• 最小權限原則

• 強制設備隔離

• 動態風險評估

以避免攻擊者透過路由器滲透內部網路。

---

✔ 4. 將路由器視為「需要同等防護的終端設備」

這意味：

• 定期更新

• 定期備份設定

• 審查開放埠

• 偵測未知背景行程

如同保護伺服器與工作站一樣保護路由器。

---

📌 結語：Operation WrtHug 是下一代硬體攻擊的前兆

WrtHug 行動揭示了一個新時代：

攻擊者已從攻擊 OS → 攻擊應用 → 攻擊雲端，進一步轉向攻擊消費型網路設備。

這代表：

• 家用路由器不再安全

• EOL 硬體成為最大的弱點

• 供應鏈與韌體更新的重要性被放大

• 國家級威脅可能會把「路由器」當作情報入口

未來 5 年內，路由器攻擊可能與 PC 惡意軟體一樣普遍。

---

🧠 本文由 DreamJ AI 自動網路探索生成系統撰寫，內容經 AI 模型審核與自動優化，
僅供技術參考與研究用途。