Arystinger मैलवेयर
आर्यस्टिंगर नामक एक नए खोजे गए मैलवेयर परिवार ने पुराने घरों में पड़े बेकार राउटरों को पारंपरिक डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस (डीडीओएस) बॉटनेट्स के बजाय एक बड़े पैमाने पर जासूसी और प्रॉक्सी नेटवर्क में बदल दिया है, जो आमतौर पर असुरक्षित नेटवर्किंग उपकरणों से जुड़े होते हैं। सुरक्षा शोधकर्ताओं ने पहले ही कम से कम 4,300 संक्रमित राउटरों की पहचान कर ली है, और यह संख्या बढ़ने की आशंका है।
सेवाओं को बाधित करने पर केंद्रित पारंपरिक मैलवेयर अभियानों के विपरीत, AryStinger को साइबर घुसपैठ के शुरुआती चरणों में सहायता करने के लिए डिज़ाइन किया गया है। इसमें संक्रमित उपकरणों का उपयोग इंटरनेट को स्कैन करने, चल रही सेवाओं की पहचान करने, सबडोमेन की गणना करने, नेटवर्क ट्रैफ़िक को टनल करने और ऑपरेटरों को एकत्रित जानकारी वापस भेजने से पहले दूरस्थ रूप से कमांड निष्पादित करने के लिए किया जाता है। प्रत्येक संक्रमित राउटर प्रभावी रूप से एक टोही नोड और एक गुमनाम रिले दोनों के रूप में कार्य करता है जो हमलावर के वास्तविक स्रोत को छुपाता है।
विषयसूची
पुराने हार्डवेयर और लंबे समय से भुला दी गई कमजोरियों को लक्षित करना
यह अभियान मुख्य रूप से रियलटेक आरटीएल819एक्स चिपसेट द्वारा संचालित राउटरों को निशाना बनाता है, जो हार्डवेयर 2012 और 2015 के बीच व्यापक रूप से उपयोग किया जाता था। शोधकर्ताओं ने पहली बार 12 मार्च 2026 को मैलवेयर का पता लगाया, जब संक्रमण एक ही आईपी पते से उत्पन्न हुआ था।
तैनात किया गया मैलवेयर एक लिनक्स ईएलएफ बाइनरी था जो शुरू में वायरसटोटल के हर इंजन द्वारा पता लगाने से बच निकला। इसने दो पुरानी कमजोरियों का फायदा उठाकर संक्रमण फैलाया:
- CVE-2013-3307 कुछ Linksys राउटरों को प्रभावित कर रहा है।
- CVE-2016-5681 विशिष्ट डी-लिंक उपकरणों को प्रभावित करता है।
प्रभावित प्रणालियों में से अधिकांश डी-लिंक के उत्पाद हैं, जिनमें से लगभग 75 प्रतिशत संक्रमण डीआईआर-850एल मॉडल से संबंधित हैं। भौगोलिक दृष्टि से, संक्रमण मुख्य रूप से दक्षिण कोरिया (48 प्रतिशत) और चीन (32 प्रतिशत) में केंद्रित हैं, इसके बाद स्वीडन, मलेशिया और सिंगापुर का स्थान आता है।
राउटर से परे विस्तार
26 अप्रैल 2026 को मैलवेयर का एक दूसरा प्रकार सामने आया, जिसने QNAP के मैलवेयर रिमूवर यूटिलिटी को प्रभावित करने वाली कोड इंजेक्शन भेद्यता (CVE-2025-11837) के माध्यम से QNAP NAS उपकरणों को निशाना बनाया। हालांकि इस भेद्यता को नवंबर 2025 में ठीक कर दिया गया था, लेकिन हमलावरों ने कुछ महीनों बाद इसका फायदा उठाना शुरू कर दिया।
विडंबना यह है कि संक्रमण का वाहक NAS उपकरण का स्वयं का मैलवेयर-हटाने वाला एप्लिकेशन है। रिपोर्ट किए गए 4,300 प्रभावित सिस्टमों के आंकड़े में केवल संक्रमित RTL819X राउटर शामिल हैं और इसमें प्रभावित NAS उपकरणों को शामिल नहीं किया गया है।
शक्तिशाली क्षमताओं वाला हल्का मैलवेयर
AryStinger का राउटर संस्करण C भाषा में लिखा गया है और पुराने हार्डवेयर के सीमित संसाधनों को ध्यान में रखते हुए इसे जानबूझकर हल्का रखा गया है। इसके मुख्य कार्य हैं बड़े पैमाने पर DNS स्कैनिंग और ट्रैफिक टनलिंग।
Go भाषा में विकसित NAS संस्करण कहीं अधिक व्यापक क्षमताएं प्रदान करता है। यह आंतरिक और बाह्य दोनों नेटवर्क को स्कैन कर सकता है और fscan, ksubdomain और httpx जैसी जासूसी उपयोगिताओं को तैनात कर सकता है। ScriptWork नामक एक सुविधा ऑपरेटरों को हमलावर द्वारा प्रदान किए गए Go, Java या Python स्रोत कोड को सीधे संक्रमित सिस्टम पर निष्पादित करने की अनुमति देती है, जिससे प्रत्येक लक्ष्य के लिए अलग-अलग बाइनरी संकलित करने की आवश्यकता समाप्त हो जाती है।
संक्रमित उपकरणों और कमांड-एंड-कंट्रोल (C2) सर्वरों के बीच संचार HTTP और HTTPS पर होता है, जिसमें प्रोटोबफ-एनकोडेड ट्रैफ़िक का उपयोग किया जाता है जिसे एक सरल XOR स्कीम द्वारा अस्पष्ट किया जाता है, जबकि गो-आधारित संस्करण में gzip संपीड़न जोड़ा जाता है। बड़े स्कैनिंग कार्यों को छोटे-छोटे खंडों में विभाजित किया जाता है और बॉटनेट में वितरित किया जाता है, जिससे समानांतर टोही अभियान संभव हो पाते हैं।
दृढ़ता और दुरुपयोग की संभावना
यह मैलवेयर राउटरों के लिए पोर्ट 2332 पर ड्रॉपबियर एसएसएच सर्वर और प्रभावित एनएएस सिस्टमों पर जीएस-नेटकैट तैनात करके दीर्घकालिक पहुंच बनाए रखता है। जांचकर्ताओं ने एक हार्डकोडेड प्रमाणीकरण कुंजी, 'sh_#@!_2024_secret' की भी पहचान की है, जिसमें '2024' की उपस्थिति से यह संकेत मिलता है कि इस ऑपरेशन का विकास उसी वर्ष शुरू हुआ था, हालांकि इसकी निश्चित रूप से पुष्टि नहीं की जा सकती।
हालांकि जासूसी करना प्राथमिक उद्देश्य प्रतीत होता है, लेकिन मैलवेयर की डीएनएस स्कैनिंग क्षमताओं को आवश्यकता पड़ने पर डीएनएस रिजॉल्वर की ओर भी निर्देशित किया जा सकता है ताकि सेवा से इनकार करने वाला ट्रैफिक उत्पन्न किया जा सके।
एक परिचित पैटर्न: परिचालन रिले बॉक्स नेटवर्क
AryStinger द्वारा निर्मित बुनियादी ढांचा ऑपरेशनल रिले बॉक्स (ORB) नेटवर्क से काफी मिलता-जुलता है। इन नेटवर्कों में ऐसे राउटर और IoT डिवाइस शामिल होते हैं जिनका उपयोग करके हमलावर स्कैनिंग ऑपरेशन कर सकते हैं और दुर्भावनापूर्ण ट्रैफ़िक को रिले कर सकते हैं, जबकि उनका पता लगाना मुश्किल बना रहता है।
यह तरीका पहले की घटनाओं से मिलता-जुलता है। मई 2025 में, एफबीआई और अमेरिकी न्याय विभाग ने 5socks और Anyproxy सेवाओं को बंद कर दिया था, जो TheMoon मैलवेयर से संक्रमित पुराने Linksys और Cisco राउटरों का फायदा उठाकर घरों में प्रॉक्सी एक्सेस से पैसे कमा रही थीं। हाल ही में, LapDogs जैसे ORB ऑपरेशनों ने भी इसी तरह पुराने उपकरणों में मौजूद अनपैच्ड कमजोरियों का लाभ उठाया है।
फिलहाल, AryStinger को किसी विशिष्ट साइबर हमलावर समूह से निश्चित रूप से नहीं जोड़ा जा सका है। हालांकि, इसका कार्य करने का तरीका स्पष्ट है: अप्रचलित हार्डवेयर और भूली हुई कमजोरियों को गुप्त बुनियादी ढांचे में परिवर्तित किया जा रहा है जो परिष्कृत साइबर घुसपैठ के शुरुआती चरणों में सहायक होता है।
पता लगाने और रोकथाम की रणनीतियाँ
संभावित रूप से प्रभावित उपकरणों का संचालन करने वाले संगठनों और व्यक्तियों को तुरंत किसी प्रकार की गड़बड़ी के संकेतों की जांच करनी चाहिए और दीर्घकालिक निवारण उपायों को लागू करना चाहिए।
- AryStinger कमांड-एंड-कंट्रोल सर्वरों और डाउनलोड डोमेन से बाहर जाने वाले कनेक्शनों की निगरानी करें।
- अपरिचित बाइनरी फ़ाइलों के लिए /tmp/bin निर्देशिका की जाँच करें।
- syswapd0h या syswapd0w नाम की संदिग्ध प्रक्रियाओं की खोज करें।
सबसे प्रभावी बचाव का सीधा-सा तरीका यही है: पुराने नेटवर्किंग उपकरणों को हटा दें जिन्हें अब फ़र्मवेयर अपडेट नहीं मिलते हैं और इंटरनेट से जुड़े उपकरणों पर रिमोट एडमिनिस्ट्रेशन को यथासंभव अक्षम कर दें। जिन हार्डवेयर को वर्षों पहले सुरक्षा पैच मिलना बंद हो गया था, उन्हें आधुनिक खतरों से सुरक्षा मिलने की संभावना कम है।