Para analis keamanan siber dari GreyNoise telah mengungkap sebuah backdoor misterius yang menginfeksi lebih dari 9000 router Asus. Temuan ini menjadi perhatian serius bagi keamanan jaringan global.
Identitas pembuat backdoor ini masih belum terungkap. Akan tetapi, sangat jelas bahwa mereka berhasil memanfaatkan kerentanan keamanan yang terdapat pada router tersebut. Sebagian dari router Asus yang terdampak sudah mendapatkan penambalan keamanan, meskipun demikian, beberapa di antaranya belum teridentifikasi dalam basis data CVE.
Sejauh ini, jaringan botnet yang dibangun dengan menggunakan backdoor bernama ViciousTrap ini belum terlihat digunakan dalam serangan siber. Informasi ini kami peroleh dari Liputanku, mengutip laporan dari Techspot pada hari Minggu, 1 Juni 2025.
GreyNoise pertama kali mendeteksi keberadaan ViciousTrap melalui sistem AI yang mereka kembangkan, yang diberi nama Sift. AI ini berhasil mendeteksi adanya anomali trafik data pada bulan Maret lalu, yang kemudian memicu investigasi mendalam terhadap potensi ancaman tersebut. Setelah identifikasi dilakukan, temuan ini segera dilaporkan kepada pihak berwenang pada akhir Maret 2025.
Setelah perusahaan keamanan siber lainnya juga menemukan backdoor ini, GreyNoise memutuskan untuk mempublikasikan detail lebih lanjut mengenai ViciousTrap, membuka informasi penting bagi komunitas keamanan.
Para peneliti di GreyNoise mengindikasikan bahwa ribuan perangkat jaringan Asus telah terkompromikan oleh ViciousTrap. Pelaku dapat menyusupkan backdoor ini dengan mengeksploitasi sejumlah kerentanan keamanan dan menerobos sistem otentikasi melalui metode brute-force yang canggih.
Selanjutnya, mereka memanfaatkan celah keamanan yang dikenal sebagai CVE-2023-39780 untuk mengeksekusi perintah pada router. Mereka juga menyalahgunakan fitur yang tersedia di router Asus untuk mengaktifkan akses SSH ke port TCP/IP tertentu dan menyuntikkan sebuah public encryption key.
Dengan demikian, pelaku dapat menggunakan private key untuk mengakses router yang telah berhasil disusupi dari jarak jauh. Backdoor ini disimpan dalam NVRAM perangkat, yang memungkinkannya untuk tetap aktif meskipun router di-reboot atau firmware-nya diperbarui.
Menurut GreyNoise, ViciousTrap dirancang agar benar-benar tidak terdeteksi, bahkan fungsi logging dimatikan untuk menghindari deteksi dini. Ini menunjukkan tingkat kecanggihan yang tinggi dari serangan ini.
Asus telah merilis penambalan untuk mengatasi kerentanan keamanan yang digunakan untuk menyusupkan backdoor ini. Akan tetapi, backdoor yang sudah berhasil menyusup akan tetap ada kecuali pemilik router melakukan inspeksi manual dan menonaktifkan akses SSH, menghapus public key yang digunakan untuk mengakses SSH tanpa izin, serta menghapus konfigurasi port TCP/IP yang digunakan oleh ViciousTrap. Tindakan proaktif ini sangat penting untuk membersihkan sistem dari infeksi.
