Routers comprometidos: riscos reais, ataques recentes e como se proteger

Início » Routers comprometidos: riscos reais, ataques recentes e como se proteger

Roteadores comprometidos deixaram de ser um problema raro e técnico para se tornarem uma das portas de entrada preferidas de cibercriminosos e grupos de espionagem. De acesso Wi-Fi doméstico simples a equipamentos empresariais complexos, cada vez mais dispositivos estão a ser explorados em campanhas furtivas que passam completamente despercebidas ao utilizador comum.

A grande questão é que, muitas vezes, o router continua aparentemente a funcionar “normalmente” enquanto serve de base para espionagem, ataques DDoS, mineração de criptomoedas ou redirecionamento malicioso de tráfego. Entender como essas campanhas operam, quais vulnerabilidades são exploradas e o que você pode fazer para se proteger é hoje parte essencial da segurança digital em casa e no trabalho.

Campanhas recentes: AyySSHush e Operation WrtHug em routers ASUS

Nos últimos tempos, duas campanhas avançadas chamaram a atenção dos investigadores de segurança por visarem em massa routers ASUS: a operação apelidada pela GreyNoise de “AyySSHush” e a “Operation WrtHug”, analisada pela equipa STRIKE da SecurityScorecard. Ambas mostram bem até onde os atacantes estão dispostos a ir para controlar equipamentos aparentemente banais.

No caso da AyySSHush, os atacantes abusam da vulnerabilidade CVE-2023-39780 para executar comandos arbitrários no sistema e, a partir daí, configurar um acesso persistente via SSH. O truque é ativar o serviço SSH num porto pouco comum (TCP/53282) e inserir uma chave pública maliciosa diretamente na NVRAM do dispositivo, o que faz com que o acesso remoto sobreviva a reinicializações e até a atualizações de firmware normais.

O fluxo típico do ataque começa por uma fase de obtenção de acesso inicial, em que são feitos ataques de força bruta às credenciais administrativas ou aproveitadas falhas de autenticação. Depois de dentro, a vulnerabilidade é explorada para permitir a execução de comandos de sistema, seguido da etapa de persistência com configuração do SSH escondido.

Para apagar os rastros, os invasores desativam os logs do router, tornando muito mais difícil que o utilizador ou o administrador percebam que algo está errado. Até 27 de maio de 2025, foram identificados mais de 9.000 routers ASUS comprometidos nesta campanha, com especial incidência em modelos como RT-AC3100, RT-AC3200 e RT-AX55.

Já a Operation WrtHug tem um foco específico em modelos ASUS WRT considerados End-of-Life (EoL), ou seja, que já não recebem atualizações de segurança do fabricante. Estima-se que cerca de 50.000 routers tenham sido comprometidos, na sua maioria em Taiwan e no Sudeste Asiático, numa campanha com forte suspeita de origem chinesa.

O ataque WrtHug combina múltiplas vulnerabilidades conhecidas, incluindo quatro falhas graves de injeção de comandos de 2023 e bugs mais recentes, como as CVE-2024-12912 e CVE-2025-2492. Em vez de criar uma botnet ruidosa para DDoS, os atacantes transformam os routers em nós de uma infraestrutura ORB (Operational Relay Box), usada como relé silencioso para espionagem, ocultando o tráfego e permitindo o roubo de dados sem levantar suspeitas.

Curiosamente, o impacto em países como Rússia e Estados Unidos foi baixo, e quase nulo na China continental, o que reforça a hipótese de patrocínio estatal. A campanha partilha técnicas com a AyySSHush, incluindo o uso de exploits idênticos, sugerindo evolução de uma mesma operação ou cooperação entre grupos.

Porque os cibercriminosos querem tanto routers comprometidos

Muita gente pensa que a sua vida não é “interessante” o suficiente para chamar atenção de um hacker, mas o valor de um router comprometido não está apenas nos seus dados pessoais. Para o atacante, o que conta é ter mais um ponto de acesso na Internet, com um IP residencial legítimo, pronto para ser abusado de várias formas.

Uma das utilizações mais comuns é transformar o router num proxy residencial. Em ataques contra empresas ou órgãos públicos, pedidos vindos de IPs de VPN ou de países estranhos são facilmente bloqueados. Já um acesso a partir de um IP doméstico aparentemente normal, na mesma região da vítima, passa muito mais despercebido. Assim, o invasor faz todo o tráfego passar pelo seu router, que age como intermediário “inocente”.

Outra função frequente é usar o router como servidor de comando e controlo (C2) de malware. O dispositivo comprometido pode hospedar binários maliciosos para que máquinas infetadas façam download, ou servir como ponto de exfiltração de dados roubados, o que complica o rastreamento.

Alguns grupos ainda colocam routers comprometidos a funcionar como honeypot para estudar concorrentes, monitorizando as técnicas utilizadas por outros atacantes que tentam abusar do mesmo dispositivo. Embora seja um cenário menos vulgar para o utilizador comum, mostra o quão disputados estes equipamentos podem ser nos bastidores.

Mesmo o uso do router como plataforma de mineração de criptomoedas, apesar de ineficiente em termos de poder de processamento, é atrativo para quem não paga nem pelo hardware nem pela eletricidade. De forma silenciosa, o router passa a gastar recursos a minerar moedas digitais em benefício do criminoso.

Há ainda o cenário de manipulação de tráfego, em que o router é configurado para intercetar e alterar o conteúdo das conexões, com possibilidades que vão desde o roubo de credenciais até à injeção de anúncios ou malware em páginas web. E, claro, qualquer router comprometido pode ser integrado numa botnet e usado para ataques DDoS massivos, envio de spam ou varreduras automáticas em busca de outros dispositivos vulneráveis.

Como os routers são atacados e o que torna certas campanhas especiais

As duas vias de ataque mais comuns contra routers continuam a ser a quebra de senha de administração e a exploração de falhas no firmware. No primeiro caso, os atacantes contam com o hábito de deixar utilizador e palavra-passe padrão (como “admin/admin”) ou de usar códigos fracos, fáceis de adivinhar, como “123456”.

Por força bruta, o cibercriminoso testa combinações de senhas até conseguir entrar no painel de gestão. Uma vez autenticado, tem praticamente os mesmos poderes do dono legítimo: pode alterar DNS, abrir portas, ativar serviços remotos, instalar backdoors e muito mais.

No segundo cenário, o atacante sonda remotamente o router para identificar fabricante e modelo, e depois tenta vulnerabilidades públicas conhecidas contra aquela versão de firmware. Falhas de execução de comandos, de bypass de autenticação ou de injeção em campos da interface web são extremamente valiosas, pois permitem assumir o controle sem conhecer nenhuma senha.

Normalmente, um reset de fábrica ou atualização de firmware costuma ser suficiente para eliminar malware instalado no router. Mas alguns ataques recentes, como os que visam routers ASUS, vão além e criam backdoors persistentes que sobrevivem a estes procedimentos, tirando partido de funções internas do próprio dispositivo.

Nesses casos, os invasores ativam serviços como o SSH de gestão remota, inserem chaves criptográficas próprias como credenciais administrativas e modificam a configuração de forma a manter o acesso. Como quase ninguém examina a lista de chaves SSH ou as opções avançadas do router, este tipo de intrusão pode permanecer ativo durante anos.

Sinais de que o seu router pode estar comprometido

Detectar um router comprometido nem sempre é simples, porque muitos ataques foram desenhados precisamente para não chamar atenção. Ainda assim, existem vários indícios que devem acender o alerta e levá-lo a investigar com calma.

Alterações estranhas nas configurações de DNS são um dos sinais mais graves. Se alguém conseguiu mudar o servidor DNS no painel do router, pode redirecionar o seu tráfego para sites falsos, lançar ataques de pharming ou injetar código malicioso em páginas não seguras (HTTP). Verificar os DNS configurados na área de administração é sempre uma boa prática.

Outro sintoma clássico é deixar de conseguir entrar na interface de administração com as credenciais habituais. Palavras-passe não se alteram sozinhas; se o login padrão deixou de funcionar e você não fez a mudança, alguém pode ter entrado, trocado a senha e, possivelmente, desativado firewalls ou outras proteções.

Uma conexão subitamente mais lenta, sem explicação aparente, também pode indicar uso indevido da sua largura de banda. Claro que interferências, problemas do provedor ou firmware desatualizado também causam lentidão, mas se isto vier acompanhado de outros sinais suspeitos, convém verificar quem está realmente ligado à sua rede.

Em planos com franquia de dados, consumos anormais na fatura podem denunciar que terceiros estão a usar o seu Wi-Fi para streaming pesado, downloads ou atividades ilegais. Muitos routers e aplicações de operadoras permitem ver o volume de tráfego por período; se notar picos que não reconhece, troque imediatamente a senha do Wi-Fi.

Redirecionamentos estranhos no browser são outro alerta importante. Se tenta aceder a um site legítimo e é encaminhado recorrentemente para páginas cheias de anúncios, phishing ou downloads suspeitos, o problema pode estar no router a alterar o tráfego, e não apenas no computador ou telemóvel.

Alguns provedores de Internet também enviam alertas quando detetam comportamento anómalo na sua ligação, como picos de tráfego suspeitos ou participação em ataques. No entanto, é crucial desconfiar de SMS e e-mails falsos que fingem ser do operador, usando links maliciosos; em caso de dúvida, aceda sempre ao site oficial ou ligue para o suporte.

Routers comprometidos em campanhas de espionagem avançada

As investigações mais recentes mostram que routers domésticos já não interessam apenas a criminosos em busca de lucro rápido. Grupos APT (ameaças persistentes avançadas), alegadamente patrocinados por governos, usam esses dispositivos em operações de espionagem cuidadosas e de longa duração.

Um exemplo é uma campanha ligada ao grupo APT31, que invadiu milhares de routers ASUS em todo o mundo, transformando-os em pontos estratégicos de encaminhamento de tráfego para ataques direcionados. O objetivo não é causar interrupções ruidosas, mas sim criar uma infraestrutura furtiva que pareça tráfego normal de utilizadores domésticos.

Esses grupos instalam backdoors sofisticados que não dependem apenas de malware tradicional. Em muitos casos, exploram funções internas do router, chaves criptográficas e serviços de gestão remota para criar canais de acesso que sobrevivem a simples atualizações e reinicializações.

Uma técnica particular identificada em alguns modelos ASUS foi o uso de um certificado TLS autoassinado suspeito no serviço AiCloud. Vários routers comprometidos partilhavam exatamente o mesmo certificado, com validade bizarra de 100 anos a partir de abril de 2022, algo totalmente fora do normal para este tipo de serviço.

Para o utilizador comum, a recomendação dos especialistas nestes cenários é pragmática: se o seu router já não recebe atualizações oficiais ou foi declarado EoL, substituí-lo é muitas vezes mais seguro do que tentar “remendar” múltiplas falhas críticas. Manter um equipamento obsoleto exposto diretamente à Internet é praticamente um convite aberto a qualquer atacante com paciência.

Vulnerabilidades graves em routers TP-Link e o risco das falhas de SQL injection

Além dos casos ASUS, recentemente foram descobertas quatro vulnerabilidades críticas em modelos populares da TP-Link, todas relacionadas com injeção de SQL na interface web de gestão. O mais preocupante é que estas falhas podem ser exploradas remotamente sem qualquer autenticação prévia.

O investigador conhecido como “The Veteran” identificou que o painel de login de alguns routers da marca não valida corretamente os dados inseridos nos campos de utilizador e palavra-passe, permitindo ao atacante injetar comandos SQL maliciosos. Com isso, torna-se possível contornar a autenticação e assumir privilégios administrativos.

Entre os modelos afetados está o TP-Link EAP120 (versão 1.0), associado à CVE-2025-29648. Neste caso, a falha no tratamento da entrada do utilizador no ecrã de login abre a porta a consultas SQL forjadas, que podem devolver dados sensíveis ou manipular a base de dados interna usada para gerir acessos.

O router TP-Link TL-WR840N (versão 1.0) apresenta uma vulnerabilidade semelhante, catalogada como CVE-2025-29649. Novamente, os campos de autenticação aceitam injeções de SQL, o que pode permitir que cibercriminosos ignorem o processo de login e entrem diretamente na área administrativa.

Routers móveis TP-Link M7200 e M7450, focados em conectividade 4G LTE, também foram listados como vulneráveis. O M7200, com firmware 1.0.7 Build 180127 Rel.55998n, está associado à CVE-2025-29650, enquanto o M7450 (versão 1.0.2 Build 170306 Rel.1015n) sofre com a CVE-2025-29653. Em ambos, o problema volta a ser a falta de proteção adequada contra SQL injection nas credenciais de login.

O impacto potencial dessas falhas vai muito além de “apenas” perder o controlo da configuração. Um atacante com acesso administrativo pode monitorizar e intercetar tráfego, alterar DNS para redirecionar vítimas a sites maliciosos, abrir portas para acesso externo, ou até transformar o equipamento num ponto de entrada para atacar outros sistemas na mesma rede.

Até ao momento da divulgação, não havia confirmação pública de patches de segurança por parte da TP-Link, o que levou especialistas a aconselhar medidas imediatas de mitigação: troca das credenciais padrão, desativação do acesso remoto à gestão, verificação manual de novas versões de firmware e monitorização da rede à procura de comportamento suspeito.

Como verificar se o seu router ASUS foi afetado pelos ataques recentes

Usuários de routers ASUS, especialmente modelos como RT-AC3100, RT-AC3200, RT-AX55 e linhas WRT antigas, devem fazer uma verificação mais minuciosa para ter a certeza de que não há backdoors ativos deixados por campanhas como AyySSHush ou WrtHug.

O primeiro passo é aceder à interface de administração do router e conferir se o serviço SSH está ativado. Caso esteja ativo num porto não padrão, como o 53282, e você não se lembra de ter configurado isso, é sinal de alerta. Nessa situação, desative imediatamente o SSH, a menos que tenha uma necessidade real de o usar, e restrinja sempre o acesso à LAN interna.

Em seguida, verifique a lista de chaves SSH autorizadas ou credenciais administrativas avançadas, se o modelo permitir esse tipo de visualização. A presença de uma chave estranha, especialmente uma que comece com a sequência “AAAAB3NzaC1yc2EA”, é um forte indicativo de comprometimento, já que esse padrão foi associado diretamente à campanha identificada.

Para quem usa o serviço AiCloud, vale a pena inspecionar o certificado TLS configurado. Um certificado autoassinado com validade exagerada (como 100 anos, datando do início em abril de 2022) é altamente suspeito e pode ser vestígio de manipulação por parte de atacantes.

Em caso de dúvida, muitos especialistas recomendam uma abordagem mais radical: efetuar um reset completo para as configurações de fábrica e reconfigurar tudo do zero. Isto inclui definir novas credenciais de administração, novo SSID e nova senha Wi-Fi, desativar serviços remotos que não utiliza e, sempre que possível, atualizar para a versão de firmware mais recente disponibilizada pela ASUS.

O que fazer se o seu router já foi hackeado

A boa notícia é que, na maioria dos casos, recuperar o controlo de um router comprometido é possível se agir com método. O mais importante é não continuar a utilizá-lo normalmente acreditando que “não deve ser nada”, porque o atacante pode estar a aproveitar cada minuto.

O primeiro passo é isolar o equipamento. Desligue o cabo de Internet (WAN) e quaisquer ligações a outros dispositivos físicos, mantendo apenas a alimentação elétrica, para poder trabalhar na recuperação sem permitir que o atacante continue a comunicar com o router.

Em seguida, faça uma redefinição completa para as configurações de fábrica. Não confunda isso com simplesmente desligar e ligar o aparelho. O reset de fábrica apaga todas as definições personalizadas, incluindo regras de DNS suspeitas, contas de utilizador criadas pelo atacante e, em muitos casos, malware residente em memória ou configurações.

Depois do reset, aceda ao painel com as credenciais padrão indicadas no manual ou na etiqueta do equipamento e mude imediatamente utilizador e palavra-passe de administração. Use uma senha longa, única e complexa, que não tenha relação com outras que usa em e-mail, redes sociais ou serviços financeiros.

Também é importante configurar um novo SSID e uma nova senha para a rede Wi‑Fi. Evite nomes que revelem a marca ou o modelo do router, pois isso ajuda os atacantes a saber exatamente quais vulnerabilidades tentar. Um SSID menos previsível, combinado com criptografia forte (WPA2 ou, de preferência, WPA3) e senha longa, dificulta bastante ataques de força bruta.

Considere ainda criar uma rede de convidados separada para visitantes e para dispositivos IoT menos confiáveis, como lâmpadas inteligentes, câmaras baratas ou outros gadgets que nem sempre recebem atualizações regulares. Isolar estes dispositivos numa rede própria reduz o impacto caso um deles seja comprometido.

Finalmente, atualize o firmware para a versão mais recente oferecida pelo fabricante. Se o router não fizer isso automaticamente, aceda ao site oficial, procure pelo modelo e descarregue manualmente o firmware atualizado. Se não houver updates há mais de um ano e o dispositivo não suportar WPA2/WPA3, é forte candidato à reforma.

Boas práticas para não ter o router comprometido outra vez

Depois de passar pelo stress de lidar com um router hackeado, faz todo o sentido reforçar a configuração para não repetir a experiência. Algumas mudanças simples de hábito já fazem uma enorme diferença na segurança do seu equipamento e da sua rede.

Logo que tirar o router da caixa, altere o utilizador e a palavra-passe de administração padrão. Essas credenciais são públicas e figuram em listas que qualquer script automatizado utiliza para tentar acessos em massa. Dê preferência a senhas com pelo menos 15 a 20 caracteres, misturando letras, números e símbolos, e não as reutilize noutros serviços.

Desative o acesso remoto à interface de gestão pela Internet (WAN), a menos que tenha um motivo muito forte para mantê-lo. Canais como HTTP/HTTPS, SSH ou Telnet abertos para o exterior aumentam imenso a superfície de ataque. Sempre que precisar de gerir o router, faça-o a partir da própria rede local ou por meio de uma VPN bem configurada.

Evite depender de funcionalidades de WPS (Wi‑Fi Protected Setup), mesmo que sejam convenientes. O WPS é conhecido há anos como um ponto fraco, pois facilita ataques de força bruta à senha, especialmente quando é usado o método do PIN. Se possível, desligue o WPS completamente e confie na proteção WPA2/WPA3 com senha robusta.

Monitorize periodicamente os dispositivos ligados à sua rede. Ferramentas de segurança que ajudam a prevenir ataques de malware, como AVG AntiVirus FREE, Kaspersky Premium ou inspetores de rede integrados em alguns routers conseguem listar equipamentos desconhecidos e alertar para senhas fracas, sequestro de DNS ou outras vulnerabilidades óbvias.

A escolha do próprio router também influencia bastante o seu nível de proteção. Em vez de aceitar cegamente apenas o modelo oferecido pelo provedor, vale a pena pesquisar marcas que publiquem atualizações de firmware com frequência e mantenham suporte por vários anos. Sites especializados em segurança de routers podem ajudar a identificar fabricantes com histórico problemático.

Por fim, torne hábito verificar, de tempos em tempos, cada secção das definições do seu router. Procure reencaminhamentos de porta estranhos, contas de utilizador que você não criou, chaves SSH desconhecidas e configurações de DNS que não reconhece. Se encontrar algo suspeito, pesquise o modelo do router juntamente com o detalhe encontrado; se não aparecer como funcionalidade documentada, provavelmente não deveria estar ali.

Encarnar o papel de “síndico” da sua própria rede pode parecer chato, mas é esse tipo de cuidado regular que evita ver o seu router transformado, em silêncio, numa peça de infraestrutura de criminosos ou em mais um tijolo numa operação de espionagem digital bem-sucedida. Ao combinar equipamentos atualizados, credenciais fortes, serviços desnecessários desativados e vigilância mínima mas constante, você reduz drasticamente as hipóteses de que o seu próximo problema de velocidade ou instabilidade seja, na verdade, um router comprometido a trabalhar contra si.