Aanvallers hebben duizenden Asus-routers die end-of-life zijn gekaapt door middel van bekende kwetsbaarheden in de AICloud-service, zo stellen onderzoekers (pdf). Via AiCloud kunnen gebruikers vanaf het internet lokale bestanden benaderen op apparaten die met de Asus-router zijn verbonden. Kwetsbaarheden in de service en het onderliggende router-besturingssysteem maken het mogelijk voor aanvallers om kwetsbare routers op afstand te compromitteren.

Onderzoekers van securitybedrijf Security Scorecard stellen dat ze zo'n vijftigduizend ip-adressen hebben waargenomen die van besmette Asus-routers zijn. De meeste infecties werden in Taiwan waargenomen, alsmede Rusland, Europa en de Verenigde Staten. Om de routers aan te vallen wordt vermoedelijk gebruikgemaakt van zes verschillende kwetsbaarheden. Vier daarvan zijn inmiddels twee jaar oud.

Asus heeft voor de gebruikte kwetsbaarheden beveiligingsupdates uitgebracht. De meeste van de gecompromitteerde routers zijn echter end-of-life en worden niet meer met updates ondersteund, zo stellen de onderzoekers. Die vermoeden dat de besmette routers als Operational Relay Box (ORB) worden gebruikt. Aanvallers laten hun verkeer via een ORB lopen om zo bijvoorbeeld een lokaal ip-adres te krijgen of detectie bij aanvallen te bemoeilijken.