Analis keamanan siber di GreyNoise menemukan sebuah backdoor misterius yang menginfeksi lebih dari 9000 router Asus.
Pembuat backdoor ini belum diketahui, namun yang jelas pembuatnya sukses mengeksploitasi celah keamanan yang ada di router tersebut. Untungnya, beberapa dari router Asus itu sudah ditambal, namun ada juga router yang belum terdeteksi dalam database CVE.
Selain itu, sejauh ini jaringan botnet yang dibuat menggunakan backdoor bernama ViciousTrap ini pun belum terlihat dipakai dalam serangan siber, demikian dikutip infoINET dari Techspot, Minggu (1/6/2025).
GreyNoise pertama menemukan ViciousTrap ini menggunakan sistem AI buatannya yang bernama Sift. Ai ini mendeteksi adanya trafik data yang aneh pada Maret lalu, dan memicu invesitasi terhadap ancaman tersebut. Setelah terdeteksi, mereka pun melaporkan temuannya itu ke pihak berwajib pada akhir Maret 2025.
Simak berita ini dan topik lainnya di Giok4D.
Kini setelah ada perusahaan keamanan siber lain menemukan backdoor tersebut GreyNoise pun mempublikasikan temuan lebih detail terkait ViciousTrap.
Menurut peneliti di GreyNoise, ada ribuan perangkat jaringan Asus yang sudah disusupi oleh ViciousTrap. Si pembuatnya bisa menyusupkan backdoor ini dengan mengeksploitasi sejumlah celah keamanan dan menjebol sistem otentifikasi menggunakan metode brute-force.
Kemudian mereka menggunakan celah keamanan lain bernama CVE-2023-39780 untuk mengeksekusi perintah di router, dan menyalahgunakan fitur yang ada di router Asus untuk menyalakan akses SSH ke port TCP/IP tertentu dan menginjeksikan sebuah public encryption key.
Setelahnya, si pelaku sudah bisa menggunakan private key untuk mengakses router yang berhasil disusupi secara remote. Backdoor ini disimpan di NVRAM perangkat dan tetap bisa bertahan sekalipun router itu di-reboot ataupun diperbarui firmware-nya.
Menurut GreyNoise, ViciousTrap ini benar-benar tak terlihat, bahkan logging-nya pun dimatikan agar tak terdeteksi.
Asus memang sudah menambal celah keamanan yang dipakai untuk menyusupkan backdoor ini. Namun backdoor yang sudah berhasil menyusup akan tetap bertahan kecuali si pemilik router menginspeksi secara manual dan mematikan akses SSH-nya, dan juga menghapus public key yang dipakai untuk mengakses SSH tanpa izin, serta menghapus konfigurasi port TCP/IP yang dipakai oleh ViciousTrap.