Κακόβουλο λογισμικό AryStinger
Μια πρόσφατα ανακαλυφθείσα οικογένεια κακόβουλου λογισμικού, με την ονομασία AryStinger, μετατρέπει εγκαταλελειμμένους οικιακούς δρομολογητές σε ένα μεγάλης κλίμακας δίκτυο αναγνώρισης και proxy αντί για τα παραδοσιακά κατανεμημένα botnet άρνησης υπηρεσίας (DDoS) που συνήθως σχετίζονται με παραβιασμένες συσκευές δικτύωσης. Οι ερευνητές ασφαλείας έχουν ήδη εντοπίσει τουλάχιστον 4.300 μολυσμένους δρομολογητές και ο αριθμός αναμένεται να συνεχίσει να αυξάνεται.
Σε αντίθεση με τις συμβατικές καμπάνιες κακόβουλου λογισμικού που επικεντρώνονται στην παρεμπόδιση των υπηρεσιών, το AryStinger έχει σχεδιαστεί για να υποστηρίζει τα πρώιμα στάδια των κυβερνοεισβολών. Οι παραβιασμένες συσκευές χρησιμοποιούνται για τη σάρωση του διαδικτύου, την αναγνώριση υπηρεσιών που εκτελούνται, την απαρίθμηση υποτομέων, τη διοχέτευση της κυκλοφορίας δικτύου και την εκτέλεση εντολών από απόσταση πριν από τη μετάδοση των συλλεγόμενων πληροφοριών πίσω στους χειριστές. Κάθε μολυσμένος δρομολογητής χρησιμεύει αποτελεσματικά τόσο ως κόμβος αναγνώρισης όσο και ως αναμεταδότης ανωνυμίας που αποκρύπτει την πραγματική προέλευση του εισβολέα.
Πίνακας περιεχομένων
Στόχευση σε παλαιότερο υλικό και ξεχασμένα τρωτά σημεία
Η καμπάνια στοχεύει κυρίως δρομολογητές που τροφοδοτούνται από chipset Realtek RTL819X, υλικό που χρησιμοποιήθηκε ευρέως μεταξύ 2012 και 2015. Οι ερευνητές παρατήρησαν για πρώτη φορά το κακόβουλο λογισμικό στις 12 Μαρτίου 2026, όταν οι μολύνσεις προήλθαν από μία μόνο διεύθυνση IP.
Το κακόβουλο λογισμικό που αναπτύχθηκε ήταν ένα δυαδικό αρχείο ELF Linux που αρχικά απέφευγε τον εντοπισμό από κάθε μηχανή αναζήτησης στο VirusTotal. Πέτυχε τη μόλυνση εκμεταλλευόμενο δύο παλαιότερα τρωτά σημεία:
- CVE-2013-3307 που επηρεάζει ορισμένους δρομολογητές Linksys.
- Το CVE-2016-5681 επηρεάζει συγκεκριμένες συσκευές D-Link.
Τα περισσότερα από τα παραβιασμένα συστήματα είναι προϊόντα της D-Link, με το μοντέλο DIR-850L να ευθύνεται για περίπου το 75% των μολύνσεων. Γεωγραφικά, οι μολύνσεις συγκεντρώνονται στη Νότια Κορέα (48%) και την Κίνα (32%), ακολουθούμενες από τη Σουηδία, τη Μαλαισία και τη Σιγκαπούρη.
Επέκταση πέρα από τους δρομολογητές
Μια δεύτερη παραλλαγή κακόβουλου λογισμικού εμφανίστηκε στις 26 Απριλίου 2026, στοχεύοντας συσκευές QNAP NAS μέσω του CVE-2025-11837, μιας ευπάθειας εισαγωγής κώδικα που επηρέαζε το βοηθητικό πρόγραμμα Malware Remover της QNAP. Παρόλο που η ευπάθεια είχε ήδη διορθωθεί τον Νοέμβριο του 2025, οι εισβολείς άρχισαν να την εκμεταλλεύονται αρκετούς μήνες αργότερα.
Κατά ειρωνικό τρόπο, ο φορέας μόλυνσης είναι η ίδια η εφαρμογή αφαίρεσης κακόβουλου λογισμικού της συσκευής NAS. Ο αναφερόμενος αριθμός των 4.300 παραβιασμένων συστημάτων περιλαμβάνει μόνο τους μολυσμένους δρομολογητές RTL819X και δεν λαμβάνει υπόψη τις συσκευές NAS που έχουν επηρεαστεί.
Ελαφρύ κακόβουλο λογισμικό με ισχυρές δυνατότητες
Η έκδοση του AryStinger για δρομολογητές είναι γραμμένη σε C και παραμένει σκόπιμα ελαφριά λόγω των περιορισμένων πόρων του παλαιότερου υλικού. Οι κύριες λειτουργίες της είναι η μαζική σάρωση DNS και η διοχέτευση κίνησης.
Η έκδοση NAS, που αναπτύχθηκε σε Go, παρέχει σημαντικά ευρύτερες δυνατότητες. Μπορεί να σαρώσει τόσο εσωτερικά όσο και εξωτερικά δίκτυα και να αναπτύξει βοηθητικά προγράμματα αναγνώρισης όπως fscan, ksubdomain και httpx. Μια λειτουργία γνωστή ως ScriptWork επιτρέπει στους χειριστές να εκτελούν πηγαίο κώδικα Go, Java ή Python που παρέχεται από εισβολείς απευθείας στο μολυσμένο σύστημα, εξαλείφοντας την ανάγκη μεταγλώττισης ξεχωριστών δυαδικών αρχείων για κάθε στόχο.
Η επικοινωνία μεταξύ των μολυσμένων συσκευών και των διακομιστών εντολών και ελέγχου (C2) πραγματοποιείται μέσω HTTP και HTTPS χρησιμοποιώντας κίνηση με κωδικοποίηση Protobuf, η οποία αποκρύπτεται με ένα απλό σχήμα XOR, ενώ η παραλλαγή που βασίζεται σε Go προσθέτει συμπίεση gzip. Οι μεγάλες εργασίες σάρωσης χωρίζονται σε μικρότερα τμήματα και κατανέμονται σε όλο το botnet, επιτρέποντας παράλληλες λειτουργίες αναγνώρισης.
Επιμονή και Πιθανότητα Κατάχρησης
Το κακόβουλο λογισμικό διατηρεί μακροπρόθεσμη πρόσβαση αναπτύσσοντας έναν διακομιστή SSH Dropbear στη θύρα 2332 για δρομολογητές και το gs-netcat σε παραβιασμένα συστήματα NAS. Οι ερευνητές εντόπισαν επίσης ένα ενσωματωμένο κλειδί ελέγχου ταυτότητας, το 'sh_#@!_2024_secret', του οποίου η συμπερίληψη του '2024' μπορεί να υποδηλώνει ότι η ανάπτυξη της λειτουργίας ξεκίνησε εκείνο το έτος, αν και αυτό δεν μπορεί να επιβεβαιωθεί με βεβαιότητα.
Παρόλο που η αναγνώριση φαίνεται να είναι ο κύριος στόχος, οι δυνατότητες σάρωσης DNS του κακόβουλου λογισμικού μπορούν επίσης να ανακατευθυνθούν προς τους αναλυτές DNS για τη δημιουργία κίνησης άρνησης υπηρεσίας όταν χρειάζεται.
Ένα Γνώριμο Μοτίβο: Δίκτυα Λειτουργικών Κουτιών Αναμετάδοσης
Η υποδομή που δημιουργήθηκε από την AryStinger μοιάζει πολύ με τα δίκτυα Operational Relay Box (ORB). Αυτά τα δίκτυα αποτελούνται από παραβιασμένους δρομολογητές στο τέλος του κύκλου ζωής τους και συσκευές IoT που επιτρέπουν στους απειλητικούς παράγοντες να διεξάγουν λειτουργίες σάρωσης και να αναμεταδίδουν κακόβουλη κίνηση, ενώ παράλληλα παραμένουν δύσκολο να εντοπιστούν.
Η προσέγγιση αυτή αντικατοπτρίζει προηγούμενα περιστατικά. Τον Μάιο του 2025, το FBI και το Υπουργείο Δικαιοσύνης των ΗΠΑ διέλυσαν τις υπηρεσίες 5socks και Anyproxy, οι οποίες είχαν εκμεταλλευτεί την πρόσβαση σε οικιακούς proxy εκμεταλλευόμενες παρωχημένες δρομολογητές Linksys και Cisco που είχαν μολυνθεί με κακόβουλο λογισμικό TheMoon. Πιο πρόσφατα, οι επιχειρήσεις ORB, όπως το LapDogs, έχουν βασιστεί ομοίως σε μη ενημερωμένες ευπάθειες σε παλαιωμένες συσκευές.
Προς το παρόν, το AryStinger δεν έχει αποδοθεί οριστικά σε κάποιον συγκεκριμένο απειλητικό παράγοντα. Ωστόσο, το λειτουργικό μοντέλο είναι αδιαμφισβήτητο: απαρχαιωμένο υλικό και ξεχασμένα τρωτά σημεία μετατρέπονται σε αθέατη υποδομή που υποστηρίζει τα αρχικά στάδια εξελιγμένων κυβερνοεισβολών.
Στρατηγικές ανίχνευσης και μετριασμού
Οι οργανισμοί και τα άτομα που χειρίζονται ενδεχομένως επηρεαζόμενο εξοπλισμό θα πρέπει να διερευνήσουν αμέσως για ενδείξεις παραβίασης και να εφαρμόσουν μακροπρόθεσμα μέτρα αποκατάστασης.
Η πιο αποτελεσματική άμυνα παραμένει απλή: η απόσυρση του εξοπλισμού δικτύωσης στο τέλος του κύκλου ζωής του που δεν λαμβάνει πλέον ενημερώσεις υλικολογισμικού και η απενεργοποίηση της απομακρυσμένης διαχείρισης σε συσκευές που είναι εκτεθειμένες στο διαδίκτυο, όποτε είναι δυνατόν. Το υλικό που σταμάτησε να λαμβάνει ενημερώσεις ασφαλείας πριν από χρόνια είναι απίθανο να λάβει προστασία από τις σύγχρονες απειλές.