Im Frühling 2025 wurde eine groß angelegte Cyberangriffswelle entdeckt, die vor allem Asus-Router beträchtlich betroffen hat. Das Botnetz mit dem Namen AyySSHush gilt als äußerst gefährlich, da es über 9000 Router infiltriert hat und dabei ausgeklügelte Techniken nutzt, um lange unentdeckt zu bleiben. Diese Cyberattacke sorgt für Besorgnis unter Nutzern von SOHO-Routern (Small Office/Home Office) und wirft ein Schlaglicht auf die Wichtigkeit von Cybersicherheit im Heim- und Geschäftsumfeld. Die Sicherheitsforscher von GreyNoise waren die Ersten, die im März 2025 diese Angriffswelle identifizierten. Beeindruckend ist, dass die Angreifer nicht nur Asus-Geräte ins Visier nehmen, sondern auch Router anderer bekannter Hersteller wie Cisco, D-Link und Linksys attackieren.
Diese breit gestreute Kampagne wird mit einiger Wahrscheinlichkeit Regierungs-Hackergruppen zugeschrieben, auch wenn konkrete Verbindungen zu bestimmten staatlichen Gruppen offiziell noch nicht bestätigt sind. AyySSHush zeichnet sich durch eine Kombination aus mehreren Angriffsmethoden aus. Einerseits nutzen die Täter klassische Brute-Force-Techniken, um Zugangsdaten zu erraten. Andererseits setzen sie auf ausgeklügelte Umgehungen der Authentifizierung und greifen Schwachstellen in der Firmware an, insbesondere Bekannt ist die Ausnutzung der Schwachstelle CVE-2023-39780. Diese Sicherheitslücke ermöglicht es Angreifern, schädliche Befehle auf dem System einzuschleusen, um sich dauerhaft Zugriff zu verschaffen.
Die technische Umsetzung des Angriffs ist komplex: Der Botnetzer bettet seinen eigenen öffentlichen SSH-Schlüssel ein und verschiebt den SSH-Daemon auf einen ungewöhnlichen TCP-Port, nämlich 53282. Dadurch entsteht ein Hintertür-Zugang, der auch nach Neustarts oder Firmware-Updates erhalten bleibt. Üblicherweise wird bei Updates konfigurationsseitig vieles überschrieben und damit eine solche Bedrohung beseitigt. Die Nutzung offizieller Asus-Funktionen zum Hinzufügen von Schlüsseln sorgt jedoch dafür, dass diese Veränderungen nachhaltig bleiben Dieses Verhalten bedeutet eine neue Stufe der Persistenz bei Cyberangriffen, die Nutzer an die Grenzen ihres technischen Wissens zwingt. Nicht nur die Nichteinbindung von schädlicher Software erschwert die Erkennung, sondern auch die bewusste Deaktivierung von Sicherheitsmechanismen im Router, wie Trend Micros AiProtection, sowie das Ausschalten von Protokollierungsfunktionen.
Dadurch bleibt die Malware lange unentdeckt und kann vom Angreifer ungehindert operieren. Trotz der massiven Infektionen wurden in den letzten drei Monaten nur sehr wenige (konkret 30) schädliche Netzwerkaufrufe festgestellt, was auf ein äußerst vorsichtiges Vorgehen der Hacker schließen lässt. Vergleichbare Beobachtungen machten Sicherheitsexperten auch beim Botnetz Vicious Trap, das ähnliche Asus-Router angreift und das Potenzial hat, eine gigantische Honigtopf-Infrastruktur zu betreiben. Diese wird genutzt, um Angriffsversuche zu sammeln, Zero-Day-Exploits zu erforschen und weitere Zugriffsmöglichkeiten auf betroffene Geräte zu sichern. Eine weitere Parallele zu Vicious Trap ist, dass trotz des massiven Ausmaßes der Infiltration keine offensichtlichen Schlagzeilen wie DDoS-Attacken oder das Proxieren von schädlichem Traffic bislang beobachtet wurden.
Das lässt die Absichten der Betreiber von AyySSHush vorerst im Dunkeln. Experten vermuten hinter dem Vorgehen strategische Spionage oder das langfristige Sammeln von kritischen Informationen. Asus selbst hat bereits gepatchte Firmware-Versionen veröffentlicht, um die Schwachstelle CVE-2023-39780 zu beheben. Allerdings ist die Verfügbarkeit dieser Updates unterschiedlich und hängt vom genauen Modell ab. Es ist entscheidend, die eigene Geräte-Firmware unbedingt aktuell zu halten, um das Risiko eines Angriffs zu minimieren.
Gleichzeitig sollten Nutzer ihr System auf Anzeichen einer Kompromittierung überprüfen, insbesondere auf unautorisierte SSH-Schlüssel im Dateiordner authorized_keys. Zu den empfohlenen Sicherheitsmaßnahmen zählt neben dem Firmware-Update auch das Zurücksetzen des Routers auf Werkseinstellungen, gefolgt von einer erneuten, sorgfältigen Konfiguration mit starken, individuellen Passwörtern. Wichtige Hinweise bieten die von GreyNoise veröffentlichten Indikatoren für eine Infektion sowie ein Satz von IP-Adressen, die mit der Botnetzt-Aktivität korrelieren. Diese sollten in der Netzwerksicherheitspolitik als verdächtig eingestuft und gegebenenfalls blockiert werden. Der Angriff des AyySSHush-Botnets zeigt deutlich, wie wichtig eine konsequente Cybersicherheitsstrategie auch für private Anwender und kleine Unternehmen ist.
Router gelten häufig als reine Infrastruktur, doch gerade diese Geräte stellen eine hochattraktive Angriffsfläche dar. Eine unterlassene Pflege oder fehlende Sicherheitsupdates können weitreichende Folgen haben, angefangen bei der Kontrolle über das Netzwerk bis hin zu potenziellen Datenlecks. Zudem fordert der AyySSHush-Fall Betreiber von Netzwerkinfrastrukturen dazu auf, proaktiver zu agieren und neben den technischen Schutzmaßnahmen auch das Monitoring und die Protokollierung umfassend zu nutzen. Moderne Sicherheitslösungen, die etwa das Verhalten ungewöhnlicher Netzwerkverbindungen automatisch erkennen, könnten einen entscheidenden Unterschied machen. Zusammenfassend ist der Befall von mehr als 9000 Asus-Routern durch das Botnetz AyySSHush ein alarmierendes Beispiel für die steigenden Bedrohungen im Bereich der Heim- und Bürotechnologie.
Wer heute einen Router verwendet, sollte nicht nur die Grundfunktionen beachten, sondern auch regelmäßig die Sicherheitseinstellungen überprüfen und Updates zeitnah installieren. Nur so lässt sich das Risiko verringern, Teil eines verdeckten Botnetzes zu werden, das über Jahre als Überwachungs- oder Angriffsinstrument missbraucht werden kann. Die kontinuierliche Forschung der Sicherheitsgemeinschaft und das transparente Teilen von Informationen stellen hierbei die Grundlage dar, um derartige Angriffe rechtzeitig zu erkennen und zu bekämpfen. Für Nutzer heißt das vor allem, aufmerksam zu bleiben, Sicherheitsempfehlungen zu folgen und Geräte niemals ungeschützt ins Internet zu stellen, ohne die neuesten Schutzmaßnahmen anzuwenden. Die Bedrohung durch Botnetze wie AyySSHush ist eine Mahnung an alle, dass Netzwerksicherheit kein einmaliger Vorgang, sondern ein fortlaufender Prozess ist.
Mit der richtigen Vorsorge kann jedoch ein Großteil der Risiken effektiv gebannt werden, sodass die Kontrolle über die eigene digitale Infrastruktur erhalten bleibt.
