Databáze hrozeb Malware Malware AryStinger

Malware AryStinger

Nově objevená rodina malwaru s názvem AryStinger transformuje opuštěné domácí routery na rozsáhlou průzkumnou a proxy síť, namísto tradičních distribuovaných botnetů typu denial-of-service (DDoS), které jsou běžně spojovány s napadenými síťovými zařízeními. Bezpečnostní výzkumníci již identifikovali nejméně 4 300 infikovaných routerů a očekává se, že toto číslo bude i nadále růst.

Na rozdíl od konvenčních malwarových kampaní, které se zaměřují na narušení služeb, je AryStinger navržen tak, aby podporoval rané fáze kybernetických útoků. Napadená zařízení se používají ke skenování internetu, identifikaci spuštěných služeb, výčtu subdomén, tunelování síťového provozu a vzdálenému provádění příkazů předtím, než se shromážděné informace přenesou zpět operátorům. Každý infikovaný router v podstatě slouží jako průzkumný uzel i anonymizační relé, které zakrývá skutečný původ útočníka.

Zaměření na stárnoucí hardware a dávno zapomenuté zranitelnosti

Kampaň se primárně zaměřuje na routery poháněné čipsety Realtek RTL819X, hardwarem, který se široce používal v letech 2012 až 2015. Výzkumníci poprvé pozorovali malware 12. března 2026, kdy infekce pocházely z jediné IP adresy.

Nasazený malware byl binární soubor ELF pro Linux, který se zpočátku vyhýbal detekci žádným vyhledávačům na platformě VirusTotal. K infekci došlo zneužitím dvou starších zranitelností:

  • CVE-2013-3307 postihující některé routery Linksys.
  • CVE-2016-5681 ovlivňující konkrétní zařízení D-Link.

Většina napadených systémů jsou produkty D-Link, přičemž model DIR-850L se podílí na přibližně 75 procentech infekcí. Geograficky jsou infekce koncentrovány v Jižní Koreji (48 procent) a Číně (32 procent), následované Švédskem, Malajsií a Singapurem.

Expanze za hranice routerů

Druhá varianta malwaru se objevila 26. dubna 2026 a zaměřila se na zařízení QNAP NAS prostřednictvím zranitelnosti CVE-2025-11837, což je zranitelnost umožňující vložení kódu, která ovlivňuje nástroj QNAP Malware Remover. Ačkoli byla tato zranitelnost opravena již v listopadu 2025, útočníci ji začali zneužívat o několik měsíců později.

Je ironií, že vektorem infekce je vlastní aplikace pro odstraňování malwaru samotného zařízení NAS. Uváděný počet 4 300 napadených systémů zahrnuje pouze infikované routery RTL819X a nezahrnuje postižená zařízení NAS.

Lehký malware s výkonnými funkcemi

Routerová verze AryStingeru je napsána v jazyce C a záměrně zůstává nenáročná kvůli omezeným zdrojům staršího hardwaru. Jeho primárními funkcemi jsou hromadné skenování DNS a tunelování provozu.

Verze pro NAS, vyvinutá v jazyce Go, nabízí výrazně širší možnosti. Dokáže skenovat interní i externí sítě a nasazovat průzkumné utility, jako jsou fscan, ksubdomain a httpx. Funkce známá jako ScriptWork umožňuje operátorům spouštět útočníkem dodaný zdrojový kód v jazycích Go, Java nebo Python přímo na infikovaném systému, čímž eliminuje nutnost kompilovat samostatné binární soubory pro každý cíl.

Komunikace mezi infikovanými zařízeními a velitelskými a řídícími (C2) servery probíhá přes HTTP a HTTPS s využitím provozu kódovaného pomocí Protobufu, který je obfuskován jednoduchým schématem XOR, zatímco varianta založená na Go přidává kompresi gzip. Velké skenovací úlohy jsou rozděleny na menší segmenty a distribuovány po celém botnetu, což umožňuje paralelní průzkumné operace.

Vytrvalost a potenciál zneužití

Malware si udržuje dlouhodobý přístup nasazením SSH serveru Dropbear na portu 2332 pro routery a gs-netcat na napadených NAS systémech. Vyšetřovatelé také identifikovali pevně zakódovaný ověřovací klíč „sh_#@!_2024_secret“, jehož zahrnutí čísla „2024“ může naznačovat, že vývoj operace začal v daném roce, ačkoli to nelze s jistotou potvrdit.

Ačkoli se primárním cílem zdá být průzkum, skenování DNS malwarem lze v případě potřeby přesměrovat i na DNS resolvery, aby se generoval provoz typu „denial-of-service“.

Známý vzorec: Sítě provozních reléových boxů

Infrastruktura vytvořená společností AryStinger se velmi podobá sítím Operational Relay Box (ORB). Tyto sítě se skládají z napadených routerů s ukončenou životností a zařízení IoT, která umožňují útočníkům provádět skenovací operace a předávat škodlivý provoz, aniž by bylo možné je sledovat.

Tento přístup připomíná předchozí incidenty. V květnu 2025 FBI a americké ministerstvo spravedlnosti zrušily služby 5socks a Anyproxy, které monetizovaly přístup k proxy serverům pro rezidenční uživatele zneužíváním zastaralých routerů Linksys a Cisco infikovaných malwarem TheMoon. V poslední době se operace ORB, jako například LapDogs, podobně spoléhaly na neopravené zranitelnosti ve stárnoucích zařízeních.

V současné době nebyl AryStinger jednoznačně přiřazen žádnému konkrétnímu aktérovi hrozby. Operační model je však nezaměnitelný: zastaralý hardware a zapomenuté zranitelnosti se přeměňují na nenápadnou infrastrukturu, která podporuje počáteční fáze sofistikovaných kybernetických útoků.

Strategie detekce a zmírňování

Organizace a jednotlivci provozující potenciálně postižená zařízení by měli okamžitě prošetřit známky ohrožení a zavést dlouhodobá nápravná opatření.

  • Monitorujte odchozí připojení k velitelským a řídicím serverům AryStinger a stahovacím doménám.
  • Prohledejte adresář /tmp/bin, zda v něm nejsou neznámé binární soubory.
  • Vyhledejte podezřelé procesy s názvem syswapd0h nebo syswapd0w.

Nejúčinnější obrana zůstává jednoduchá: vyřadit síťová zařízení s ukončenou životností, která již nedostávají aktualizace firmwaru, a kdykoli je to možné, deaktivovat vzdálenou správu na zařízeních vystavených internetu. Hardware, který před lety přestal dostávat bezpečnostní záplaty, pravděpodobně neobdrží ochranu před moderními hrozbami.

Načítání...