بدافزار AryStinger
یک خانواده بدافزار تازه کشف شده به نام AryStinger، روترهای خانگی رها شده را به یک شبکه شناسایی و پروکسی در مقیاس بزرگ تبدیل میکند، نه باتنتهای سنتی انکار سرویس توزیعشده (DDoS) که معمولاً با دستگاههای شبکه آسیبدیده مرتبط هستند. محققان امنیتی تاکنون حداقل ۴۳۰۰ روتر آلوده را شناسایی کردهاند و انتظار میرود این تعداد همچنان رو به افزایش باشد.
برخلاف کمپینهای بدافزاری مرسوم که بر ایجاد اختلال در سرویسها تمرکز دارند، AryStinger برای پشتیبانی از مراحل اولیه نفوذ سایبری طراحی شده است. دستگاههای آلوده برای اسکن اینترنت، شناسایی سرویسهای در حال اجرا، شمارش زیردامنهها، تونلزنی ترافیک شبکه و اجرای دستورات از راه دور قبل از انتقال اطلاعات جمعآوریشده به اپراتورها استفاده میشوند. هر روتر آلوده بهطور مؤثر بهعنوان یک گره شناسایی و یک رله ناشناسکننده عمل میکند که منشأ واقعی مهاجم را پنهان میکند.
فهرست مطالب
هدف قرار دادن سختافزارهای قدیمی و آسیبپذیریهای فراموششده
این کمپین در درجه اول روترهایی را هدف قرار میدهد که از چیپستهای Realtek RTL819X استفاده میکنند، سختافزاری که بین سالهای ۲۰۱۲ تا ۲۰۱۵ به طور گسترده مورد استفاده قرار میگرفت. محققان برای اولین بار این بدافزار را در ۱۲ مارس ۲۰۲۶ مشاهده کردند، زمانی که عفونتها از یک آدرس IP واحد سرچشمه میگرفتند.
بدافزار مستقر شده یک فایل باینری ELF لینوکس بود که در ابتدا توسط هر موتوری در VirusTotal شناسایی نشد. این بدافزار با سوءاستفاده از دو آسیبپذیری قدیمیتر، آلودگی را ایجاد میکرد:
- CVE-2013-3307 که بر روی برخی از روترهای Linksys تأثیر میگذارد.
- آسیبپذیری CVE-2016-5681 که دستگاههای خاصی از D-Link را تحت تأثیر قرار میدهد.
بیشتر سیستمهای آلودهشده محصولات D-Link هستند و مدل DIR-850L تقریباً 75 درصد از آلودگیها را تشکیل میدهد. از نظر جغرافیایی، آلودگیها در کره جنوبی (48 درصد) و چین (32 درصد) متمرکز شدهاند و پس از آن سوئد، مالزی و سنگاپور قرار دارند.
توسعه فراتر از روترها
نوع دوم بدافزار در ۲۶ آوریل ۲۰۲۶ پدیدار شد و دستگاههای NAS شرکت QNAP را از طریق آسیبپذیری CVE-2025-11837 که یک آسیبپذیری تزریق کد است و ابزار Malware Remover شرکت QNAP را تحت تأثیر قرار میدهد، هدف قرار داد. اگرچه این آسیبپذیری قبلاً در نوامبر ۲۰۲۵ وصله شده بود، اما مهاجمان چند ماه بعد شروع به سوءاستفاده از آن کردند.
از قضا، عامل آلودگی، برنامهی حذف بدافزار خودِ دستگاه NAS است. رقم گزارششدهی ۴۳۰۰ سیستم آلوده، تنها شامل روترهای RTL819X آلوده میشود و دستگاههای NAS آسیبدیده را در بر نمیگیرد.
بدافزار سبک با قابلیتهای قدرتمند
نسخه روتر AryStinger به زبان C نوشته شده است و به دلیل منابع محدود سختافزارهای قدیمی، عمداً سبک باقی مانده است. وظایف اصلی آن اسکن انبوه DNS و تونلسازی ترافیک است.
نسخه NAS که با زبان Go توسعه داده شده است، قابلیتهای بسیار گستردهتری را ارائه میدهد. این نسخه میتواند شبکههای داخلی و خارجی را اسکن کند و ابزارهای شناسایی مانند fscan، ksubdomain و httpx را مستقر کند. ویژگیای که با نام ScriptWork شناخته میشود، به اپراتورها اجازه میدهد تا کد منبع Go، Java یا Python ارائه شده توسط مهاجم را مستقیماً روی سیستم آلوده اجرا کنند و نیاز به کامپایل فایلهای باینری جداگانه برای هر هدف را از بین ببرد.
ارتباط بین دستگاههای آلوده و سرورهای فرمان و کنترل (C2) از طریق HTTP و HTTPS با استفاده از ترافیک رمزگذاری شده توسط Protobuf که با یک طرح XOR ساده مبهمسازی شده است، رخ میدهد، در حالی که نوع مبتنی بر Go فشردهسازی gzip را اضافه میکند. وظایف اسکن بزرگ به بخشهای کوچکتر تقسیم شده و در سراسر باتنت توزیع میشوند و امکان عملیات شناسایی موازی را فراهم میکنند.
تداوم و پتانسیل سوءاستفاده
این بدافزار با استقرار یک سرور Dropbear SSH روی پورت ۲۳۳۲ برای روترها و gs-netcat روی سیستمهای NAS آسیبدیده، دسترسی بلندمدت خود را حفظ میکند. محققان همچنین یک کلید احراز هویت کدگذاری شده به نام 'sh_#@!_2024_secret' را شناسایی کردند که گنجاندن '2024' در آن ممکن است نشان دهد که توسعه این عملیات از همان سال آغاز شده است، اگرچه این موضوع را نمیتوان با قطعیت تأیید کرد.
اگرچه به نظر میرسد هدف اصلی شناسایی باشد، اما قابلیتهای اسکن DNS این بدافزار میتواند به سمت حلکنندههای DNS نیز هدایت شود تا در صورت نیاز ترافیک انکار سرویس ایجاد کند.
یک الگوی آشنا: شبکههای جعبه رله عملیاتی
زیرساخت ایجاد شده توسط AryStinger شباهت زیادی به شبکههای Operational Relay Box (ORB) دارد. این شبکهها شامل روترهای آسیبپذیر و دستگاههای اینترنت اشیا هستند که به مهاجمان اجازه میدهند عملیات اسکن را انجام داده و ترافیک مخرب را رله کنند، در حالی که ردیابی آنها دشوار است.
این رویکرد، یادآور حوادث قبلی است. در ماه مه ۲۰۲۵، افبیآی و وزارت دادگستری ایالات متحده، سرویسهای 5socks و Anyproxy را که با سوءاستفاده از روترهای قدیمی Linksys و Cisco آلوده به بدافزار TheMoon، از دسترسی پروکسی مسکونی درآمد کسب میکردند، از رده خارج کردند. اخیراً، عملیات ORB مانند LapDogs نیز به همین ترتیب به آسیبپذیریهای وصله نشده در دستگاههای قدیمی متکی بودهاند.
در حال حاضر، AryStinger به طور قطعی به هیچ عامل تهدید خاصی نسبت داده نشده است. با این حال، مدل عملیاتی آن غیرقابل انکار است: سختافزارهای منسوخ و آسیبپذیریهای فراموششده به زیرساختهای مخفی تبدیل میشوند که از مراحل اولیه نفوذهای سایبری پیچیده پشتیبانی میکنند.
استراتژیهای تشخیص و کاهش آسیب
سازمانها و افرادی که تجهیزات آسیبدیده را اداره میکنند، باید فوراً نشانههای نفوذ را بررسی کرده و اقدامات اصلاحی بلندمدت را اجرا کنند.
مؤثرترین راهکار دفاعی همچنان ساده است: تجهیزات شبکهای که دیگر بهروزرسانیهای میانافزار دریافت نمیکنند را از رده خارج کنید و در صورت امکان، مدیریت از راه دور دستگاههای در معرض اینترنت را غیرفعال کنید. بعید است سختافزاری که سالها پیش دریافت وصلههای امنیتی را متوقف کرده است، در برابر تهدیدات مدرن محافظت شود.