Зловреден софтуер AryStinger
Новооткрито семейство злонамерен софтуер, наречено AryStinger, трансформира изоставените домашни рутери в мащабна разузнавателна и прокси мрежа, вместо традиционните разпределени ботнет мрежи за отказ на услуга (DDoS), обикновено свързани с компрометирани мрежови устройства. Изследователите по сигурността вече са идентифицирали поне 4300 заразени рутера и се очаква броят им да продължи да расте.
За разлика от конвенционалните кампании за зловреден софтуер, които се фокусират върху нарушаване на услугите, AryStinger е проектиран да поддържа ранните етапи на кибернападения. Компрометираните устройства се използват за сканиране на интернет, идентифициране на работещи услуги, изброяване на поддомейни, тунелиране на мрежовия трафик и изпълнение на команди дистанционно, преди да предадат събраната информация обратно на операторите. Всеки заразен рутер служи ефективно както като разузнавателен възел, така и като анонимизиращо реле, което прикрива истинския произход на нападателя.
Съдържание
Борба със стареещия хардуер и отдавна забравените уязвимости
Кампанията е насочена предимно към рутери, захранвани от чипсети Realtek RTL819X, хардуер, който е бил широко използван между 2012 и 2015 г. Изследователите за първи път наблюдават зловредния софтуер на 12 март 2026 г., когато инфекциите са възникнали от един IP адрес.
Разположеният зловреден софтуер е бил двоичен ELF файл за Linux, който първоначално е избягвал откриването от всички двигатели на VirusTotal. Той е постигнал заразяване чрез използване на две по-стари уязвимости:
- CVE-2013-3307, засягащ определени рутери на Linksys.
- CVE-2016-5681, засягащ специфични устройства на D-Link.
Повечето от компрометираните системи са продукти на D-Link, като моделът DIR-850L е отговорен за приблизително 75% от инфекциите. Географски погледнато, инфекциите са концентрирани в Южна Корея (48%) и Китай (32%), следвани от Швеция, Малайзия и Сингапур.
Разширяване отвъд рутерите
Втори вариант на зловреден софтуер се появи на 26 април 2026 г., насочен към NAS устройства на QNAP чрез CVE-2025-11837, уязвимост чрез инжектиране на код, засягаща помощната програма Malware Remover на QNAP. Въпреки че уязвимостта вече беше отстранена през ноември 2025 г., нападателите започнаха да я експлоатират няколко месеца по-късно.
По ирония на съдбата, векторът на инфекцията е собственото приложение за премахване на зловреден софтуер на NAS устройството. Съобщената цифра от 4300 компрометирани системи включва само заразените RTL819X рутери и не отчита засегнатите NAS устройства.
Лек зловреден софтуер с мощни възможности
Версията на AryStinger за рутери е написана на C и умишлено остава лека поради ограничените ресурси на по-стария хардуер. Основните ѝ функции са масово DNS сканиране и тунелиране на трафика.
NAS версията, разработена на Go, предоставя значително по-широки възможности. Тя може да сканира както вътрешни, така и външни мрежи и да внедрява разузнавателни инструменти като fscan, ksubdomain и httpx. Функция, известна като ScriptWork, позволява на операторите да изпълняват предоставен от атакуващия изходен код на Go, Java или Python директно върху заразената система, елиминирайки необходимостта от компилиране на отделни двоични файлове за всяка цел.
Комуникацията между заразените устройства и командно-контролните (C2) сървъри се осъществява през HTTP и HTTPS, използвайки трафик, кодиран с Protobuf, обфуциран с проста XOR схема, докато вариантът, базиран на Go, добавя gzip компресия. Големите задачи за сканиране се разделят на по-малки сегменти и се разпределят в ботнет мрежата, което позволява паралелни разузнавателни операции.
Упоритост и потенциал за злоупотреба
Зловредният софтуер поддържа дългосрочен достъп, като разполага Dropbear SSH сървър на порт 2332 за рутери и gs-netcat на компрометирани NAS системи. Разследващите също така идентифицираха твърдо кодиран ключ за удостоверяване, „sh_#@!_2024_secret“, чието включване на „2024“ може да показва, че разработването на операцията е започнало през тази година, въпреки че това не може да бъде потвърдено със сигурност.
Въпреки че разузнаването изглежда е основната цел, възможностите за DNS сканиране на зловредния софтуер могат да бъдат пренасочени и към DNS резолвери, за да генерират трафик за отказ от услуга, когато е необходимо.
Познат модел: Мрежи от оперативни релейни кутии
Инфраструктурата, създадена от AryStinger, много наподобява мрежите Operational Relay Box (ORB). Тези мрежи се състоят от компрометирани рутери с излязъл от употреба и IoT устройства, които позволяват на злонамерените лица да извършват сканиращи операции и да препредават злонамерен трафик, като същевременно остават трудни за проследяване.
Подходът наподобява предишни инциденти. През май 2025 г. ФБР и Министерството на правосъдието на САЩ демонтираха услугите 5socks и Anyproxy, които монетизираха достъпа до жилищни прокси сървъри, използвайки остарели рутери на Linksys и Cisco, заразени със злонамерен софтуер TheMoon. Съвсем наскоро ORB операции, като LapDogs, по подобен начин разчитаха на неотстранени уязвимости в остарели устройства.
В момента AryStinger не е окончателно приписан на конкретен злонамерен персонаж. Оперативният модел обаче е безпогрешен: остарял хардуер и забравени уязвимости се превръщат в скрита инфраструктура, която поддържа началните етапи на сложни кибернападения.
Стратегии за откриване и смекчаване
Организациите и лицата, работещи с потенциално засегнато оборудване, трябва незабавно да проучат за индикатори за компрометиране и да приложат дългосрочни мерки за отстраняване.
- Следете за изходящи връзки към командни и контролни сървъри на AryStinger и домейни за изтегляне.
- Проверете директорията /tmp/bin за непознати двоични файлове.
- Търсете подозрителни процеси с имена syswapd0h или syswapd0w.
Най-ефективната защита остава проста: извадете излезлото от употреба мрежово оборудване, което вече не получава актуализации на фърмуера, и деактивирайте дистанционното администриране на устройства, изложени на интернет, когато е възможно. Хардуерът, който е спрял да получава корекции за сигурност преди години, е малко вероятно да получи защита срещу съвременните заплахи.