Une backdoor immortelle dans les routeurs ASUS, capable de survivre même aux mises à jour du firmware !

Vous voulez savoir ce qui fait vraiment flipper en ce moment niveau cybersécurité ? Non, c’est pas les ransomwares qui font le buzz sur Twitter que Thierry collectionne sur son PC mais plutôt les attaques silencieuses qui s’installent dans votre matériel comme un alien dans votre bide (ou ailleurs…). Et là, on est sur du lourd puisque des cybercriminels ont trouvé comment installer une backdoor persistante dans des milliers de routeurs ASUS. Et le plus flippant, c’est qu’elle survit carrément aux mises à jour firmware !

Les chercheurs de GreyNoise ont découvert mi-mars 2025 une campagne d’attaque tellement sophistiquée qu’ils ont attendu de prévenir les autorités gouvernementales avant de la rendre publique. Et je ne vous parle pas de script kiddies qui s’amusent… non, non, là on est clairement sur du niveau nation-state, du genre à avoir des moyens illimités et une patience d’ange. Du coup, y’a plus de 9000 routeurs ASUS sont maintenant sous contrôle total des attaquants, et le nombre continue de grimper.

Le truc vicieux là dedans, c’est la méthode employée puisque les hackers exploitent plusieurs failles, dont la fameuse CVE-2023-39780, une vulnérabilité d’injection de commandes qui touche notamment les modèles RT-AX55. Mais c’est pas ça le plus tordu. Non, le vrai coup de génie maléfique, c’est comment ils rendent leur backdoor immortelle. Au lieu de foutre un malware classique qui se fait dégager au premier reboot, ils utilisent les fonctionnalités légitimes d’ASUS pour activer SSH sur le port 53282 et y coller leur clé publique. Et tenez-vous bien, tout ça est stocké dans la NVRAM, c’est à dire la mémoire non-volatile du routeur !

Pour ceux qui ont séché les cours de hardware en classe de maternelle, la NVRAM c’est le coffre-fort du routeur. En gros, c’est là où sont stockées les configs critiques qui doivent survivre aux coupures de courant. Du coup, vous pouvez faire toutes les mises à jour firmware que vous voulez, redémarrer votre routeur 50 fois, la backdoor reste tranquillement en place. Ouin !

L’attaque fonctionne en plusieurs étapes et sait se faire discrète. Tout d’abord, les attaquants tentent du brute-force sur les credentials, mais ils ont aussi deux exploits d’authentification bypass qui n’ont même pas encore de CVE assignées (ouais, des zero-days quoi). Ils se font passer pour le user-agent officiel d’ASUS avec “asusrouter–” et utilisent un cookie “asus_token=” suivi d’un null byte. Une fois dedans, ils activent alors une fonctionnalité de logging appelée BWSQL (Bandwidth SQLite Logging) qui permet d’exécuter du code arbitraire.

Le plus balèze dans tout ça c’est qu’il y a zéro malware installé, zéro trace dans les logs (ils les désactivent direct), et même l’AiProtection de Trend Micro intégré dans les routeurs se fait bypass. Les seuls indices de compromission, c’est si vous allez fouiller manuellement dans les paramètres SSH et que vous voyez que le port 53282 est ouvert avec une clé publique qui commence par “ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV…”

Sekoia a baptisé cette campagne “ViciousTrap” dans leur rapport du 22 mai, et ils pensent que les attaquants sont probablement d’origine chinoise, grâce à des recoupements avec l’infrastructure GobRAT et la distribution géographique des appareils compromis. Mais attention, comme d’habitude, c’est pas sûr sûr sûr, hein… Ce sont juste des indices qui pointent dans cette direction.

Cette attaque a d’ailleurs la gueule d’une phase préparatoire d’une opération beaucoup plus large. Les hackers accumulent tranquillement leur armée de routeurs zombies, sans les utiliser pour l’instant et ensuite, ça pourrait servir pour du DDoS massif, du relais de trafic malveillant, ou pire, pour infiltrer les réseaux des victimes depuis l’intérieur.

Les modèles touchés incluent les RT-AC3100, RT-AC3200 et RT-AX55, mais potentiellement, tous les routeurs ASUS avec des firmwares non patchés seraient vulnérables. Si vous avez un de ces routeurs, checkez d’urgence si le SSH est activé sur le port 53282. Si c’est le cas, vous êtes dans la merde. La seule solution pour vraiment virer cette backdoor, c’est un factory reset complet et pas juste une mise à jour firmware. Un bon gros reset qui efface toute la NVRAM !

ASUS a bien sorti des patchs pour corriger la CVE-2023-39780, mais ça protège uniquement contre de nouvelles infections. Si vous étiez déjà compromis avant la mise à jour, la backdoor reste malheureusement active.

Maintenant pour détecter si vous avez été ciblé, vous pouvez aussi checker vos logs système pour les IPs suivantes : 101.99.91.151, 101.99.94.173, 79.141.163.179, ou 111.90.146.237. Mais bon, vu que les attaquants désactivent les logs, c’est pas gagné…

On est donc clairement sur du travail de pro qui connaît l’architecture ASUS sur le bout des doigts puisqu’ils savent utiliser les fonctionnalités légitimes du routeur pour maintenir la persistance de leur malware.

Alors ouais, on peut se dire que 9000 routeurs sur des millions en circulation, c’est pas énorme mais les attaquants prennent leur temps et construisent méthodiquement leur infrastructure. Et vu le niveau de compétence démontré, y’a fort à parier qu’ils ont d’autres tours dans leur sac.

Bref, mettez à jour vos firmwares, mais surtout, allez vérifier vos configs SSH dès maintenant. Parce que cette backdoor, c’est pas le genre qui part facilement…

Source