Ribuan Router ASUS Diam-Diam Terinfeksi Backdoor ViciousTrap
Membuat ringkasan dengan AI Lebih dari 9.000 router ASUS diketahui terinfeksi oleh backdoor misterius bernama ViciousTrap, menurut laporan analis keamanan siber GreyNoise.
Ancaman ini pertama kali ditemukan oleh analis di perusahaan intelijen keamanan siber, GreyNoise, yang mengungkap bahwa para penyerang mengeksploitasi berbagai celah keamanan. Hal ini termasuk beberapa router yang belum memiliki kode pelacakan resmi di database CVE.
Meskipun serangan ini masih dalam tahap ekspansi diam-diam, belum ada tindakan eksplisit yang menuju arah serangan siber yang memanfaatkan botnet alias data dari backdoor vicioustrap yang telah mereka bangun.
Backdoor sendiri adalah celah tersembunyi dalam sistem komputer, aplikasi, atau perangkat seperti router yang memungkinkan seseorang, termasuk peretas, masuk ke dalam sistem tanpa izin dan tanpa diketahui.
Backdoor ini awalnya terdeteksi pada Maret 2025 oleh sistem kecerdasan buatan milik GreyNoise bernama Sift, yang menangkap lalu lintas jaringan mencurigakan. Laporan juga tak memuat daftar negara spesifik yang menjadi target kampanye backdoor tersebut.
Setelah penyelidikan mendalam, pihak GreyNoise menemukan bahwa para pelaku memanfaatkan kelemahan autentikasi, melakukan brute-force login, dan mengeksploitasi celah CVE-2023-39780 untuk mengeksekusi perintah di perangkat router.
Lebih jauh, para peretas menggunakan fitur resmi milik ASUS untuk mengaktifkan akses SSH di port TCP/IP tertentu, lalu menyuntikkan public encryption key. Dengan begitu, mereka dapat mengakses router dari jarak jauh menggunakan private key milik mereka.
Lebih parah lagi, backdoor ini disimpan dalam NVRAM router, sehingga dapat bertahan bahkan setelah perangkat di-restart atau diperbarui firmwarenya. Logging juga dimatikan, menjadikan aktivitas peretas nyaris tak terdeteksi.
ASUS sendiri telah merilis pembaruan firmware untuk menambal celah tersebut, tetapi router yang sudah terinfeksi masih rentan kecuali SSH dinonaktifkan secara manual oleh administrator.
GreyNoise juga menyarankan untuk memantau lalu lintas jaringan dari IP mencurigakan berikut:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
Dalam pernyataannya, GreyNoise menegaskan pentingnya menjaga firmware tetap mutakhir: “Jika dicurigai adanya kompromi, lakukan factory reset penuh dan atur ulang secara manual,” ujar mereka, dikutip dari Techspot, (29/5).
Dapatkan pengalaman membaca lebih nyaman dan nikmati fitur menarik lainnya lewat aplikasi mobile Katadata.
