بدافزار AryStinger

یک خانواده بدافزار تازه کشف شده به نام AryStinger، روترهای خانگی رها شده را به یک شبکه شناسایی و پروکسی در مقیاس بزرگ تبدیل می‌کند، نه بات‌نت‌های سنتی انکار سرویس توزیع‌شده (DDoS) که معمولاً با دستگاه‌های شبکه آسیب‌دیده مرتبط هستند. محققان امنیتی تاکنون حداقل ۴۳۰۰ روتر آلوده را شناسایی کرده‌اند و انتظار می‌رود این تعداد همچنان رو به افزایش باشد.

برخلاف کمپین‌های بدافزاری مرسوم که بر ایجاد اختلال در سرویس‌ها تمرکز دارند، AryStinger برای پشتیبانی از مراحل اولیه نفوذ سایبری طراحی شده است. دستگاه‌های آلوده برای اسکن اینترنت، شناسایی سرویس‌های در حال اجرا، شمارش زیردامنه‌ها، تونل‌زنی ترافیک شبکه و اجرای دستورات از راه دور قبل از انتقال اطلاعات جمع‌آوری‌شده به اپراتورها استفاده می‌شوند. هر روتر آلوده به‌طور مؤثر به‌عنوان یک گره شناسایی و یک رله ناشناس‌کننده عمل می‌کند که منشأ واقعی مهاجم را پنهان می‌کند.

هدف قرار دادن سخت‌افزارهای قدیمی و آسیب‌پذیری‌های فراموش‌شده

این کمپین در درجه اول روترهایی را هدف قرار می‌دهد که از چیپست‌های Realtek RTL819X استفاده می‌کنند، سخت‌افزاری که بین سال‌های ۲۰۱۲ تا ۲۰۱۵ به طور گسترده مورد استفاده قرار می‌گرفت. محققان برای اولین بار این بدافزار را در ۱۲ مارس ۲۰۲۶ مشاهده کردند، زمانی که عفونت‌ها از یک آدرس IP واحد سرچشمه می‌گرفتند.

بدافزار مستقر شده یک فایل باینری ELF لینوکس بود که در ابتدا توسط هر موتوری در VirusTotal شناسایی نشد. این بدافزار با سوءاستفاده از دو آسیب‌پذیری قدیمی‌تر، آلودگی را ایجاد می‌کرد:

  • CVE-2013-3307 که بر روی برخی از روترهای Linksys تأثیر می‌گذارد.
  • آسیب‌پذیری CVE-2016-5681 که دستگاه‌های خاصی از D-Link را تحت تأثیر قرار می‌دهد.

بیشتر سیستم‌های آلوده‌شده محصولات D-Link هستند و مدل DIR-850L تقریباً 75 درصد از آلودگی‌ها را تشکیل می‌دهد. از نظر جغرافیایی، آلودگی‌ها در کره جنوبی (48 درصد) و چین (32 درصد) متمرکز شده‌اند و پس از آن سوئد، مالزی و سنگاپور قرار دارند.

توسعه فراتر از روترها

نوع دوم بدافزار در ۲۶ آوریل ۲۰۲۶ پدیدار شد و دستگاه‌های NAS شرکت QNAP را از طریق آسیب‌پذیری CVE-2025-11837 که یک آسیب‌پذیری تزریق کد است و ابزار Malware Remover شرکت QNAP را تحت تأثیر قرار می‌دهد، هدف قرار داد. اگرچه این آسیب‌پذیری قبلاً در نوامبر ۲۰۲۵ وصله شده بود، اما مهاجمان چند ماه بعد شروع به سوءاستفاده از آن کردند.

از قضا، عامل آلودگی، برنامه‌ی حذف بدافزار خودِ دستگاه NAS است. رقم گزارش‌شده‌ی ۴۳۰۰ سیستم آلوده، تنها شامل روترهای RTL819X آلوده می‌شود و دستگاه‌های NAS آسیب‌دیده را در بر نمی‌گیرد.

بدافزار سبک با قابلیت‌های قدرتمند

نسخه روتر AryStinger به زبان C نوشته شده است و به دلیل منابع محدود سخت‌افزارهای قدیمی، عمداً سبک باقی مانده است. وظایف اصلی آن اسکن انبوه DNS و تونل‌سازی ترافیک است.

نسخه NAS که با زبان Go توسعه داده شده است، قابلیت‌های بسیار گسترده‌تری را ارائه می‌دهد. این نسخه می‌تواند شبکه‌های داخلی و خارجی را اسکن کند و ابزارهای شناسایی مانند fscan، ksubdomain و httpx را مستقر کند. ویژگی‌ای که با نام ScriptWork شناخته می‌شود، به اپراتورها اجازه می‌دهد تا کد منبع Go، Java یا Python ارائه شده توسط مهاجم را مستقیماً روی سیستم آلوده اجرا کنند و نیاز به کامپایل فایل‌های باینری جداگانه برای هر هدف را از بین ببرد.

ارتباط بین دستگاه‌های آلوده و سرورهای فرمان و کنترل (C2) از طریق HTTP و HTTPS با استفاده از ترافیک رمزگذاری شده توسط Protobuf که با یک طرح XOR ساده مبهم‌سازی شده است، رخ می‌دهد، در حالی که نوع مبتنی بر Go فشرده‌سازی gzip را اضافه می‌کند. وظایف اسکن بزرگ به بخش‌های کوچکتر تقسیم شده و در سراسر بات‌نت توزیع می‌شوند و امکان عملیات شناسایی موازی را فراهم می‌کنند.

تداوم و پتانسیل سوءاستفاده

این بدافزار با استقرار یک سرور Dropbear SSH روی پورت ۲۳۳۲ برای روترها و gs-netcat روی سیستم‌های NAS آسیب‌دیده، دسترسی بلندمدت خود را حفظ می‌کند. محققان همچنین یک کلید احراز هویت کدگذاری شده به نام 'sh_#@!_2024_secret' را شناسایی کردند که گنجاندن '2024' در آن ممکن است نشان دهد که توسعه این عملیات از همان سال آغاز شده است، اگرچه این موضوع را نمی‌توان با قطعیت تأیید کرد.

اگرچه به نظر می‌رسد هدف اصلی شناسایی باشد، اما قابلیت‌های اسکن DNS این بدافزار می‌تواند به سمت حل‌کننده‌های DNS نیز هدایت شود تا در صورت نیاز ترافیک انکار سرویس ایجاد کند.

یک الگوی آشنا: شبکه‌های جعبه رله عملیاتی

زیرساخت ایجاد شده توسط AryStinger شباهت زیادی به شبکه‌های Operational Relay Box (ORB) دارد. این شبکه‌ها شامل روترهای آسیب‌پذیر و دستگاه‌های اینترنت اشیا هستند که به مهاجمان اجازه می‌دهند عملیات اسکن را انجام داده و ترافیک مخرب را رله کنند، در حالی که ردیابی آنها دشوار است.

این رویکرد، یادآور حوادث قبلی است. در ماه مه ۲۰۲۵، اف‌بی‌آی و وزارت دادگستری ایالات متحده، سرویس‌های 5socks و Anyproxy را که با سوءاستفاده از روترهای قدیمی Linksys و Cisco آلوده به بدافزار TheMoon، از دسترسی پروکسی مسکونی درآمد کسب می‌کردند، از رده خارج کردند. اخیراً، عملیات ORB مانند LapDogs نیز به همین ترتیب به آسیب‌پذیری‌های وصله نشده در دستگاه‌های قدیمی متکی بوده‌اند.

در حال حاضر، AryStinger به طور قطعی به هیچ عامل تهدید خاصی نسبت داده نشده است. با این حال، مدل عملیاتی آن غیرقابل انکار است: سخت‌افزارهای منسوخ و آسیب‌پذیری‌های فراموش‌شده به زیرساخت‌های مخفی تبدیل می‌شوند که از مراحل اولیه نفوذهای سایبری پیچیده پشتیبانی می‌کنند.

استراتژی‌های تشخیص و کاهش آسیب

سازمان‌ها و افرادی که تجهیزات آسیب‌دیده را اداره می‌کنند، باید فوراً نشانه‌های نفوذ را بررسی کرده و اقدامات اصلاحی بلندمدت را اجرا کنند.

  • بر اتصالات خروجی به سرورهای فرمان و کنترل AryStinger و دامنه‌های دانلود نظارت کنید.
  • دایرکتوری /tmp/bin را برای یافتن فایل‌های باینری ناآشنا بررسی کنید.
  • به دنبال فرآیندهای مشکوک با نام syswapd0h یا syswapd0w بگردید.
  • مؤثرترین راهکار دفاعی همچنان ساده است: تجهیزات شبکه‌ای که دیگر به‌روزرسانی‌های میان‌افزار دریافت نمی‌کنند را از رده خارج کنید و در صورت امکان، مدیریت از راه دور دستگاه‌های در معرض اینترنت را غیرفعال کنید. بعید است سخت‌افزاری که سال‌ها پیش دریافت وصله‌های امنیتی را متوقف کرده است، در برابر تهدیدات مدرن محافظت شود.

    بارگذاری...