Trusseldatabase Malware AryStinger Malware

AryStinger Malware

En nyligt opdaget malware-familie, ved navn AryStinger, omdanner forladte hjemmeroutere til et storstilet rekognoscerings- og proxy-netværk i stedet for de traditionelle distribuerede denial-of-service (DDoS) botnet, der ofte forbindes med kompromitterede netværksenheder. Sikkerhedsforskere har allerede identificeret mindst 4.300 inficerede routere, og antallet forventes at fortsætte med at stige.

I modsætning til konventionelle malwarekampagner, der fokuserer på at forstyrre tjenester, er AryStinger designet til at understøtte de tidlige stadier af cyberangreb. Kompromitterede enheder bruges til at scanne internettet, identificere kørende tjenester, opregne underdomæner, tunnelere netværkstrafik og udføre kommandoer eksternt, før de indsamlede oplysninger sendes tilbage til operatørerne. Enhver inficeret router fungerer effektivt som både en rekognosceringsnode og et anonymiseringsrelæ, der skjuler angriberens sande oprindelse.

Målretning mod aldrende hardware og længe glemte sårbarheder

Kampagnen er primært rettet mod routere drevet af Realtek RTL819X-chipsæt, hardware der var meget udbredt mellem 2012 og 2015. Forskere observerede først malwaren den 12. marts 2026, hvor infektioner stammede fra en enkelt IP-adresse.

Den installerede malware var en Linux ELF-binær fil, der i starten ikke blev opdaget af nogen af VirusTotal-programmerne. Den blev inficeret ved at udnytte to ældre sårbarheder:

  • CVE-2013-3307, der påvirker visse Linksys-routere.
  • CVE-2016-5681 påvirker specifikke D-Link-enheder.

De fleste af de kompromitterede systemer er D-Link-produkter, hvor DIR-850L-modellen tegner sig for cirka 75 procent af infektionerne. Geografisk er infektionerne koncentreret i Sydkorea (48 procent) og Kina (32 procent), efterfulgt af Sverige, Malaysia og Singapore.

Udvidelse ud over routere

En anden malwarevariant dukkede op den 26. april 2026 og var rettet mod QNAP NAS-enheder via CVE-2025-11837, en kodeindsprøjtningssårbarhed, der påvirker QNAP's Malware Remover-værktøj. Selvom sårbarheden allerede var blevet rettet i november 2025, begyndte angribere at udnytte den flere måneder senere.

Ironisk nok er infektionsvektoren NAS-enhedens eget malware-fjernelsesprogram. Det rapporterede tal på 4.300 kompromitterede systemer inkluderer kun de inficerede RTL819X-routere og tager ikke højde for berørte NAS-enheder.

Letvægts malware med kraftfulde funktioner

Routerversionen af AryStinger er skrevet i C og forbliver bevidst letvægts på grund af de begrænsede ressourcer i ældre hardware. Dens primære funktioner er masse-DNS-scanning og trafiktunneling.

NAS-versionen, der er udviklet i Go, tilbyder betydeligt bredere muligheder. Den kan scanne både interne og eksterne netværk og implementere rekognosceringsværktøjer som fscan, ksubdomain og httpx. En funktion kendt som ScriptWork giver operatører mulighed for at udføre angriberleveret Go-, Java- eller Python-kildekode direkte på det inficerede system, hvilket eliminerer behovet for at kompilere separate binære filer for hvert mål.

Kommunikation mellem inficerede enheder og kommando-og-kontrol (C2) servere sker via HTTP og HTTPS ved hjælp af Protobuf-kodet trafik, der er tilsløret med et simpelt XOR-skema, mens den Go-baserede variant tilføjer gzip-komprimering. Store scanningsopgaver er opdelt i mindre segmenter og fordelt på tværs af botnettet, hvilket muliggør parallelle rekognosceringsoperationer.

Vedvarende virkning og potentiale for misbrug

Malwaren opretholder langtidsadgang ved at implementere en Dropbear SSH-server på port 2332 for routere og gs-netcat på kompromitterede NAS-systemer. Efterforskerne identificerede også en hardcodet godkendelsesnøgle, 'sh_#@!_2024_secret', hvis inkludering af '2024' kan indikere, at udviklingen af operationen begyndte samme år, selvom dette ikke kan bekræftes med sikkerhed.

Selvom rekognoscering synes at være det primære mål, kan malwarens DNS-scanningsfunktioner også omdirigeres mod DNS-resolvere for at generere denial-of-service-trafik, når det er nødvendigt.

Et velkendt mønster: Operationelle relæboksnetværk

Infrastrukturen skabt af AryStinger minder meget om ORB-netværk (Operational Relay Box). Disse netværk består af kompromitterede, udtjente routere og IoT-enheder, der gør det muligt for trusselsaktører at udføre scanningsoperationer og videresende ondsindet trafik, samtidig med at de forbliver vanskelige at spore.

Tilgangen minder om tidligere hændelser. I maj 2025 afviklede FBI og det amerikanske justitsministerium tjenesterne 5socks og Anyproxy, som havde tjent penge på proxy-adgang til private hjem ved at udnytte forældede Linksys- og Cisco-routere inficeret med TheMoon-malware. For nylig har ORB-operationer som LapDogs ligeledes benyttet sig af uopdaterede sårbarheder i ældre enheder.

På nuværende tidspunkt er AryStinger ikke endeligt blevet tilskrevet nogen specifik trusselsaktør. Den operationelle model er dog umiskendelig: forældet hardware og glemte sårbarheder bliver omdannet til skjult infrastruktur, der understøtter de indledende stadier af sofistikerede cyberindbrud.

Strategier for detektion og afbødning

Organisationer og enkeltpersoner, der bruger potentielt berørt udstyr, bør straks undersøge for tegn på kompromittering og implementere langsigtede afhjælpende foranstaltninger.

  • Overvåg udgående forbindelser til AryStinger kommando- og kontrolservere og downloaddomæner.
  • Undersøg mappen /tmp/bin for ukendte binære filer.
  • Søg efter mistænkelige processer med navnet syswapd0h eller syswapd0w.
  • Det mest effektive forsvar er stadig ligetil: Skink udtjent netværksudstyr, der ikke længere modtager firmwareopdateringer, og deaktiver fjernadministration på internetudsatte enheder, når det er muligt. Hardware, der stoppede med at modtage sikkerhedsrettelser for år siden, vil sandsynligvis ikke modtage beskyttelse mod moderne trusler.

    Mest sete

    Indlæser...