Programari maliciós d'AryStinger
Una família de programari maliciós recentment descoberta, anomenada AryStinger, està transformant els encaminadors domèstics abandonats en una xarxa de reconeixement i proxy a gran escala en lloc de les tradicionals xarxes de bots de denegació de servei distribuïda (DDoS) que s'associen habitualment amb dispositius de xarxa compromesos. Els investigadors de seguretat ja han identificat almenys 4.300 encaminadors infectats, i s'espera que el nombre continuï creixent.
A diferència de les campanyes de programari maliciós convencionals que se centren en interrompre els serveis, AryStinger està dissenyat per donar suport a les primeres etapes de les intrusions cibernètiques. Els dispositius compromesos s'utilitzen per escanejar Internet, identificar serveis en execució, enumerar subdominis, fer tunelització del trànsit de xarxa i executar ordres de forma remota abans de transmetre la intel·ligència recopilada als operadors. Cada encaminador infectat serveix eficaçment com a node de reconeixement i com a relé d'anonimització que oculta el veritable origen de l'atacant.
Taula de continguts
Abordar el maquinari envellit i les vulnerabilitats oblidades fa temps
La campanya té com a objectiu principal els encaminadors que funcionen amb xips Realtek RTL819X, un maquinari que es va utilitzar àmpliament entre el 2012 i el 2015. Els investigadors van observar el programari maliciós per primera vegada el 12 de març de 2026, quan les infeccions es van originar des d'una única adreça IP.
El programari maliciós implementat era un binari ELF de Linux que inicialment va evadir la detecció de tots els motors de VirusTotal. Va aconseguir la infecció explotant dues vulnerabilitats més antigues:
- CVE-2013-3307 que afecta certs encaminadors Linksys.
- CVE-2016-5681 que afecta dispositius D-Link específics.
La majoria dels sistemes compromesos són productes D-Link, i el model DIR-850L representa aproximadament el 75% de les infeccions. Geogràficament, les infeccions es concentren a Corea del Sud (48%) i Xina (32%), seguides de Suècia, Malàisia i Singapur.
Expansió més enllà dels routers
Una segona variant de programari maliciós va aparèixer el 26 d'abril de 2026, dirigida als dispositius NAS de QNAP a través de la CVE-2025-11837, una vulnerabilitat d'injecció de codi que afecta la utilitat Malware Remover de QNAP. Tot i que la vulnerabilitat ja havia estat corregida el novembre de 2025, els atacants van començar a explotar-la diversos mesos després.
Irònicament, el vector d'infecció és la pròpia aplicació d'eliminació de programari maliciós del dispositiu NAS. La xifra reportada de 4.300 sistemes compromesos només inclou els encaminadors RTL819X infectats i no té en compte els dispositius NAS afectats.
Programari maliciós lleuger amb capacitats potents
La versió d'encaminador d'AryStinger està escrita en C i intencionadament roman lleugera a causa dels recursos limitats del maquinari més antic. Les seves funcions principals són l'escaneig massiu de DNS i la tunelització del trànsit.
La versió NAS, desenvolupada en Go, ofereix capacitats significativament més àmplies. Pot escanejar xarxes internes i externes i implementar utilitats de reconeixement com ara fscan, ksubdomain i httpx. Una funció coneguda com a ScriptWork permet als operadors executar codi font de Go, Java o Python proporcionat per l'atacant directament al sistema infectat, eliminant la necessitat de compilar binaris separats per a cada objectiu.
La comunicació entre els dispositius infectats i els servidors de comandament i control (C2) es produeix a través d'HTTP i HTTPS utilitzant trànsit codificat per Protobuf ofuscat amb un esquema XOR simple, mentre que la variant basada en Go afegeix compressió gzip. Les tasques d'escaneig grans es divideixen en segments més petits i es distribueixen per la botnet, permetent operacions de reconeixement paral·leles.
Persistència i potencial d’abús
El programari maliciós manté l'accés a llarg termini desplegant un servidor SSH Dropbear al port 2332 per a encaminadors i gs-netcat en sistemes NAS compromesos. Els investigadors també van identificar una clau d'autenticació codificada, 'sh_#@!_2024_secret', la inclusió de '2024' de la qual pot indicar que el desenvolupament de l'operació va començar aquell any, tot i que això no es pot confirmar amb certesa.
Tot i que el reconeixement sembla ser l'objectiu principal, les capacitats d'escaneig DNS del programari maliciós també es poden redirigir cap a resolutors DNS per generar trànsit de denegació de servei quan sigui necessari.
Un patró familiar: xarxes de caixes de relé operatives
La infraestructura creada per AryStinger s'assembla molt a les xarxes Operational Relay Box (ORB). Aquestes xarxes consisteixen en encaminadors i dispositius IoT compromesos que permeten als actors d'amenaces dur a terme operacions d'escaneig i retransmetre trànsit maliciós sense que siguin fàcils de rastrejar.
L'enfocament fa ressò d'incidents anteriors. El maig de 2025, l'FBI i el Departament de Justícia dels Estats Units van desmantellar els serveis 5socks i Anyproxy, que havien monetitzat l'accés proxy residencial explotant encaminadors Linksys i Cisco obsolets infectats amb programari maliciós TheMoon. Més recentment, operacions ORB com ara LapDogs s'han basat de manera similar en vulnerabilitats sense pegats en dispositius antics.
Actualment, AryStinger no s'ha atribuït de manera concloent a cap actor d'amenaces específic. Tanmateix, el model operatiu és inconfusible: el maquinari obsolet i les vulnerabilitats oblidades s'estan convertint en una infraestructura furtiva que dóna suport a les etapes inicials de ciberintrusions sofisticades.
Estratègies de detecció i mitigació
Les organitzacions i les persones que operen equips potencialment afectats haurien d'investigar immediatament si hi ha indicis de compromís i implementar mesures de remediació a llarg termini.
- Supervisa les connexions sortints als servidors de comandament i control i als dominis de descàrrega d'AryStinger.
- Inspeccioneu el directori /tmp/bin per detectar binaris desconeguts.
- Cerca processos sospitosos anomenats syswapd0h o syswapd0w.
La defensa més eficaç continua sent senzilla: retirar els equips de xarxa al final de la seva vida útil que ja no reben actualitzacions de firmware i desactivar l'administració remota en dispositius exposats a Internet sempre que sigui possible. És poc probable que el maquinari que va deixar de rebre pegats de seguretat fa anys rebi protecció contra les amenaces modernes.