Des experts de SecurityScorecard, en collaboration avec Asus, ont révélé une campagne de cyberattaques organisée au cours de laquelle des milliers de routeurs ASUS ont été piratés après la fin de la période de support et transformés en un réseau de zombies. L'attaque a été baptisée « Opération WrtHug », en référence au logiciel AsusWRT présent sur les routeurs Asus. Les auteurs de la campagne ont créé une infrastructure d'espionnage dédiée, utilisant des appareils obsolètes comme composants d'un vaste réseau de relais. Les routeurs infectés servent d'intermédiaires de communication. Les attaquants y font transiter leur propre trafic, masquent leurs connexions lors d'intrusions et mettent en place des infrastructures de communication C2 complexes. Cette structure rappelle les architectures ORB (Operational Relay Box) précédemment observées et utilisées dans des opérations liées à la Chine. Les appareils compromis exploitaient plusieurs vulnérabilités : CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912 et CVE-2025-2492. Ces vulnérabilités étaient présentes depuis longtemps. Les routeurs non pris en charge n’ont pas reçu de mises à jour, et certains utilisateurs ne les ont jamais installées. Les attaquants disposaient ainsi d’une plateforme stable pour déployer leur infrastructure.

D'après les chercheurs, les modèles compromis incluent les 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS et RT-AC1300UHP. On estime à plusieurs milliers le nombre d'appareils infectés. Chaque appareil était équipé d'un certificat TLS unique, signé manuellement et valable 100 ans. Les chercheurs soulignent qu'une telle durée de validité témoigne d'une opération minutieusement préparée et coordonnée. Les appareils identifiés sont principalement situés à Taïwan et dans les pays d'Asie du Sud-Est. Ces routeurs constituent la base d'une vaste infrastructure de relais. Le rapport indique qu'aucun appareil infecté n'a été détecté en Chine continentale. Cette répartition géographique correspond aux zones qui font l'objet d'opérations menées depuis des années par l'État chinois. Des chercheurs soulignent que les infrastructures reposant sur des routeurs tiers permettent aux attaquants de mener des activités d'espionnage de manière difficilement traçable. Le routage du trafic via les appareils des utilisateurs privés crée une couche de dissimulation et, simultanément, une plateforme pour des attaques contre des cibles politiques et économiques importantes.

SecurityScorecard attribue cette campagne à des acteurs soutenus par l'État chinois. Les chercheurs décrivent la cohésion de la campagne, l'exploitation de la vulnérabilité « n-day » et la gestion des certificats comme caractéristiques des opérations étatiques. Ils estiment que l'envergure et la structure organisationnelle du botnet témoignent d'une préparation de longue haleine et d'une focalisation sur des objectifs stratégiques.