AryStinger Malware

عائلة برمجيات خبيثة مكتشفة حديثًا، تُدعى AryStinger، تُحوّل أجهزة التوجيه المنزلية المهجورة إلى شبكة استطلاع ووكالة واسعة النطاق، بدلًا من شبكات الروبوتات التقليدية لهجمات الحرمان من الخدمة الموزعة (DDoS) المرتبطة عادةً بأجهزة الشبكات المخترقة. وقد حدد باحثو الأمن بالفعل ما لا يقل عن 4300 جهاز توجيه مصاب، ومن المتوقع أن يستمر هذا العدد في الازدياد.

على عكس حملات البرمجيات الخبيثة التقليدية التي تركز على تعطيل الخدمات، صُممت AryStinger لدعم المراحل المبكرة من الاختراقات الإلكترونية. تُستخدم الأجهزة المخترقة لمسح الإنترنت، وتحديد الخدمات العاملة، وحصر النطاقات الفرعية، وتوجيه حركة مرور الشبكة، وتنفيذ الأوامر عن بُعد قبل إرسال المعلومات المُجمعة إلى المشغلين. يعمل كل جهاز توجيه مُصاب كعقدة استطلاع وجهاز ترحيل لإخفاء هوية المُهاجم.

استهداف الأجهزة القديمة والثغرات الأمنية المنسية منذ زمن طويل

تستهدف الحملة في المقام الأول أجهزة التوجيه التي تعمل بشرائح Realtek RTL819X، وهي أجهزة كانت تستخدم على نطاق واسع بين عامي 2012 و2015. وقد لاحظ الباحثون البرامج الضارة لأول مرة في 12 مارس 2026، عندما نشأت الإصابات من عنوان IP واحد.

كان البرنامج الخبيث المُستخدم عبارة عن ملف تنفيذي بصيغة ELF لنظام لينكس، وقد أفلت في البداية من الكشف بواسطة جميع محركات البحث على موقع VirusTotal. وقد تمكن من إصابة النظام عن طريق استغلال ثغرتين أمنيتين قديمتين:

  • CVE-2013-3307 يؤثر على بعض أجهزة التوجيه من Linksys.
  • CVE-2016-5681 يؤثر على أجهزة D-Link محددة.

معظم الأنظمة المخترقة هي منتجات شركة D-Link، حيث يمثل طراز DIR-850L حوالي 75% من الإصابات. وتتركز الإصابات جغرافياً في كوريا الجنوبية (48%) والصين (32%)، تليها السويد وماليزيا وسنغافورة.

التوسع بما يتجاوز أجهزة التوجيه

ظهر نوع ثانٍ من البرمجيات الخبيثة في 26 أبريل 2026، مستهدفًا أجهزة QNAP NAS عبر ثغرة CVE-2025-11837، وهي ثغرة حقن برمجية تؤثر على أداة إزالة البرمجيات الخبيثة من QNAP. على الرغم من أن هذه الثغرة قد تم إصلاحها في نوفمبر 2025، إلا أن المهاجمين بدأوا باستغلالها بعد عدة أشهر.

ومن المفارقات أن وسيلة العدوى هي تطبيق إزالة البرامج الضارة الموجود على جهاز التخزين الشبكي نفسه. ويشمل الرقم المُعلن عنه وهو 4300 نظام مخترق أجهزة التوجيه RTL819X المصابة فقط، ولا يشمل أجهزة التخزين الشبكي المتأثرة.

برامج خبيثة خفيفة الوزن ذات قدرات قوية

تمت كتابة نسخة جهاز التوجيه من برنامج AryStinger بلغة C، وهي مصممة لتكون خفيفة الوزن عمداً نظراً لمحدودية موارد الأجهزة القديمة. وتتمثل وظائفها الأساسية في المسح الشامل لنظام أسماء النطاقات (DNS) وتوجيه حركة البيانات عبر الأنفاق.

يُوفر إصدار NAS، المُطور بلغة Go، إمكانيات أوسع بكثير. فهو قادر على فحص الشبكات الداخلية والخارجية، ونشر أدوات استطلاع مثل fscan وksubdomain وhttpx. كما تُتيح ميزة ScriptWork للمشغلين تنفيذ شفرة المصدر Go أو Java أو Python التي يُقدمها المُهاجم مباشرةً على النظام المُصاب، مما يُغني عن الحاجة إلى تجميع ملفات تنفيذية منفصلة لكل هدف.

يتم التواصل بين الأجهزة المصابة وخوادم القيادة والتحكم عبر بروتوكولي HTTP وHTTPS باستخدام بيانات مشفرة بتقنية Protobuf ومُخفية باستخدام عملية XOR بسيطة، بينما يضيف الإصدار المبني على لغة Go ضغط gzip. تُقسّم مهام المسح الكبيرة إلى أجزاء أصغر وتُوزّع عبر شبكة الروبوتات، مما يُتيح عمليات استطلاع متوازية.

الإصرار وإمكانية الإساءة

يحافظ البرنامج الخبيث على وصول طويل الأمد من خلال نشر خادم Dropbear SSH على المنفذ 2332 لأجهزة التوجيه، وبرنامج gs-netcat على أنظمة التخزين الشبكية المخترقة. كما حدد المحققون مفتاح مصادقة مُضمّنًا في الكود، وهو 'sh_#@!_2024_secret'، والذي قد يشير وجود الرقم '2024' فيه إلى أن تطوير العملية بدأ في ذلك العام، على الرغم من أنه لا يمكن تأكيد ذلك بشكل قاطع.

على الرغم من أن الاستطلاع يبدو أنه الهدف الأساسي، إلا أنه يمكن أيضًا إعادة توجيه قدرات مسح نظام أسماء النطاقات (DNS) الخاصة بالبرامج الضارة نحو محللات نظام أسماء النطاقات لتوليد حركة مرور حجب الخدمة عند الحاجة.

نمط مألوف: شبكات صناديق الترحيل التشغيلية

تشبه البنية التحتية التي أنشأها برنامج AryStinger إلى حد كبير شبكات صناديق الترحيل التشغيلية (ORB). تتكون هذه الشبكات من أجهزة توجيه وأجهزة إنترنت الأشياء مخترقة ومنتهية الصلاحية، مما يُمكّن الجهات الخبيثة من إجراء عمليات مسح وإعادة توجيه حركة مرور ضارة مع صعوبة تتبعها.

يُشابه هذا النهج حوادث سابقة. ففي مايو 2025، قام مكتب التحقيقات الفيدرالي ووزارة العدل الأمريكية بتفكيك خدمتي 5socks وAnyproxy، اللتين كانتا تستغلان الوصول إلى بروكسيات المنازل لتحقيق الربح من خلال استغلال أجهزة توجيه قديمة من نوع Linksys وCisco مصابة ببرمجية TheMoon الخبيثة. وفي الآونة الأخيرة، اعتمدت عمليات ORB، مثل LapDogs، بشكل مماثل على ثغرات أمنية غير مُعالجة في الأجهزة القديمة.

حتى الآن، لم يُنسب برنامج AryStinger بشكل قاطع إلى أي جهة تهديد محددة. ومع ذلك، فإن نموذج التشغيل واضح لا لبس فيه: حيث يتم تحويل الأجهزة القديمة والثغرات الأمنية المنسية إلى بنية تحتية خفية تدعم المراحل الأولية لعمليات الاختراق الإلكتروني المعقدة.

استراتيجيات الكشف والتخفيف

ينبغي على المنظمات والأفراد الذين يشغلون معدات يحتمل تأثرها أن يقوموا على الفور بالتحقيق في مؤشرات الاختراق وتنفيذ تدابير تصحيحية طويلة الأجل.

  • مراقبة الاتصالات الصادرة إلى خوادم التحكم والسيطرة الخاصة بـ AryStinger ومجالات التنزيل.
  • افحص مجلد /tmp/bin بحثًا عن ملفات ثنائية غير مألوفة.
  • ابحث عن العمليات المشبوهة التي تحمل اسم syswapd0h أو syswapd0w.

يبقى الدفاع الأكثر فعالية بسيطًا: التخلص من أجهزة الشبكات القديمة التي لم تعد تتلقى تحديثات البرامج الثابتة، وتعطيل الإدارة عن بُعد على الأجهزة المتصلة بالإنترنت كلما أمكن ذلك. من غير المرجح أن تحظى الأجهزة التي توقفت عن تلقي التحديثات الأمنية منذ سنوات بالحماية من التهديدات الحديثة.

جار التحميل...