In der Welt der Cybersicherheit sind Router besonders gefährdete Punkte, da sie häufig direkt mit dem Internet verbunden sind und als Zugangspunkte zu internen Netzwerken fungieren. Im März 2025 hat GreyNoise, ein führendes Cybersecurity-Unternehmen, eine raffinierte und äußerst heimliche Backdoor-Kampagne aufgedeckt, die tausende ASUS-Router weltweit betrifft. Diese Entdeckung wirft ein neues Licht auf die Gefahren komplexer Angriffe, die mit großem technischem Know-how und langfristiger Planung ausgeführt werden. Die Kampagne zeigt, wie gut organisierte Angreifer legitime Funktionen der Geräte ausnutzen, um ihre Anwesenheit dauerhaft zu verbergen und Zugriff zu halten. Dabei geht es längst nicht mehr nur um den Diebstahl von Daten, sondern um den Aufbau eines potenziellen Botnetzes, das zu weiteren Cyberangriffen missbraucht werden könnte.
GreyNoise wurde durch seine eigene KI-gestützte Analyseplattform Sift auf das ungewöhnliche Verhalten aufmerksam. Die Technologien von GreyNoise ermöglichten es, selbst die subtilsten und schwer erkennbaren Angriffsmuster im globalen Netzwerkverkehr zu identifizieren. Die Angreifer agierten äußerst diskret, indem sie nur wenige HTTP-Anfragen an Router-Endpunkte sandten, die scheinbar harmlos wirkten, jedoch eine komplexe Kette von Angriffsschritten einleiteten. Durch die Kombination von vollständig emulierten ASUS-Routerprofilen und tiefgehender Netzwerkdatenanalyse konnten die Experten die Angriffsmuster nachvollziehen und die persistente Hintertür identifizieren. Die Angreifer setzten zunächst auf brute-force Methoden, also das Ausprobieren zahlreicher Anmeldedaten, um Zugang zu den Routern zu erhalten.
Anschließend nutzten sie zudem zwei spezielle Authentifizierungsumgehungen, die bisher keine offiziellen Sicherheitslücken mit CVE-Nummern besitzen. Ein zentraler Baustein des Angriffs ist die Ausnutzung der als CVE-2023-39780 bezeichneten Schwachstelle, die eine Kommandoinjektion ermöglicht – ein besonders gefährlicher Fehler, der es erlaubt, beliebige Systembefehle auf der betroffenen Hardware auszuführen. Was die Kampagne besonders gefährlich macht, ist die Art ihrer Persistenz. Die Angreifer aktivieren den SSH-Zugang über einen offiziellen ASUS-Systembefehl auf einem ungewöhnlichen Port (TCP/53282) und fügen ihren eigenen öffentlichen SSH-Schlüssel als legitime Zugangsmöglichkeit hinzu. Dabei speichern sie alle bösartigen Konfigurationen in dem nichtflüchtigen Speicher des Routers (NVRAM).
Die Folge ist, dass sämtliche Einstellungen auch nach einem Neustart oder einem Firmware-Update erhalten bleiben – ein Umstand, der von den Angreifern absichtlich ausgenutzt wird, um einen dauerhaften Zugriff zu gewährleisten. Ein besonders besorgniserregendes Detail ist, dass während der gesamten Kompromittierung kein herkömmlicher Schadcode auf die Geräte geladen wird, und die Router-Logs von den Angreifern vor der Einrichtung der Hintertür deaktiviert werden. Diese Vorgehensweise unterstreicht die vorsichtige Planung und das tiefe technische Verständnis der Angreifer. Viele Cyberattacken hinterlassen zumindest einige Anzeichen oder Spuren, doch diese Backdoor ist so konstruiert, dass sie kaum durch herkömmliche Sicherheitsmaßnahmen entdeckt werden kann. Dieser Grad an Stealth-Technik erinnert an die Methoden von Advanced Persistent Threat (APT)-Gruppen und Operationen, die auf eine langfristige Kontrolle und Ausnutzung der Geräte abzielen.
Die Opferzahl wächst stetig, allein bis Ende Mai 2025 wurden fast 9.000 kompromittierte ASUS-Router identifiziert – basierend auf den Erhebungen von Censys, einer renommierten Plattform zur Analyse von internetbasierten Assets. Diese Zahl dürfte jedoch noch steigen, da der Angriff äußerst leise und nur mit modernsten Mitteln auffindbar ist. GreyNoise konnte über seine Sensoren in einem Zeitraum von drei Monaten nur rund 30 verdächtige Anfragen beobachten, was die Tiefe der Tarnung verdeutlicht. ASUS selbst hat auf die Bedrohung reagiert und die Schwachstelle CVE-2023-39780 mit einem Firmware-Update gepatcht.
Auch die anfänglichen Authentifizierungsumgehungen wurden in den nachfolgenden Firmwares geschlossen. Allerdings bleibt das Problem bestehen, dass für bereits kompromittierte Geräte der Backdoor-Zugang in NVRAM bestehen bleibt und ein Firmware-Update diesen nicht entfernt. Nur durch eine gründliche Überprüfung der SSH-Konfiguration und das Löschen unerwünschter autorisierter Schlüssel kann der Zugriff wirklich unterbunden werden. Für Nutzer von ASUS-Routern und IT-Verantwortliche ergeben sich daraus wichtige Handlungsempfehlungen. Es ist dringend anzuraten, die Firmware der Geräte immer aktuell zu halten und nach verdächtigem SSH-Zugang – speziell auf dem Port 53282 – zu suchen.
Ein automatisiertes Überwachen und Sperren bekannter bösartiger IP-Adressen, wie sie von GreyNoise veröffentlicht wurden, kann weiteren Schaden verhindern. Im Falle eines Verdachts sollte ein kompletter Factory-Reset des Routers durchgeführt und das Gerät anschließend manuell konfiguriert werden, um keine schadhaften Persistenzmechanismen zu übersehen. Diese Entdeckung von GreyNoise ist ein eindrucksvolles Beispiel dafür, wie modernste KI-gestützte Analysemethoden in der Cybersicherheit heute unverzichtbar sind. Nur durch die Verwendung von Emulation und umfassender Verkehrsanalyse konnten diese versteckten Angriffe sichtbar gemacht werden. Gleichzeitig zeigt der Vorfall die steigende Gefahr von Angriffen auf IoT- und Netzwerkgeräte, die häufig nur unzureichend geschützt sind, aber aufgrund ihrer zentralen Rolle besonders attraktives Ziel darstellen.
Der Fall verdeutlicht eine neue Generation von Cyberbedrohungen, die sich nicht auf schnelle Schadsoftware, sondern auf unsichtbare, hartnäckige Kontrolle und Tarnung verlassen. Solche Angriffe können langfristige Auswirkungen haben und zum Teil global organisierte Netzwerke für weitere Straftaten bilden. Unternehmen, Behörden und Privatnutzer müssen demzufolge ihre Verteidigungsstrategien entsprechend anpassen – durch konsequente Updates, präzise Monitoring-Systeme und die Zusammenarbeit mit Spezialisten, die neuartige Bedrohungen zuverlässig erkennen können. Zusammenfassend ist der ASUS-Router-Backdoor-Vorfall ein Weckruf für die IT-Sicherheitsbranche. Er macht deutlich, wie wichtig transparente Forschung, schnelle Koordination mit Industriepartnern und proaktive Kommunikation sind.
Nur so kann sichergestellt werden, dass Schwachstellen schnell geschlossen und Risiken minimiert werden. Gleichzeitig unterstreicht GreyNoise’ Ansatz mit Sift den Mehrwert von KI im Kampf gegen sich ständig weiterentwickelnde Cyberangriffe. Nutzer von ASUS-Routern und Netzwerkverantwortliche sollten die Hinweise von GreyNoise ernst nehmen und umgehend entsprechende Schutzmaßnahmen umsetzen, um ihre Geräte vor dauerhaftem Missbrauch zu bewahren.
