Zlonamjerni softver AryStinger
Novootkrivena obitelj zlonamjernog softvera, nazvana AryStinger, transformira napuštene kućne usmjerivače u veliku izviđačku i proxy mrežu umjesto tradicionalnih distribuiranih botnetova za uskraćivanje usluge (DDoS) koji se obično povezuju s kompromitiranim mrežnim uređajima. Sigurnosni istraživači već su identificirali najmanje 4300 zaraženih usmjerivača, a očekuje se da će broj nastaviti rasti.
Za razliku od konvencionalnih kampanja zlonamjernog softvera koje se usredotočuju na ometanje usluga, AryStinger je dizajniran za podršku ranim fazama kibernetičkih upada. Kompromitirani uređaji koriste se za skeniranje interneta, identifikaciju pokrenutih usluga, nabrajanje poddomena, tuneliranje mrežnog prometa i daljinsko izvršavanje naredbi prije slanja prikupljenih obavještajnih podataka natrag operaterima. Svaki zaraženi usmjerivač učinkovito služi i kao izviđački čvor i kao anonimizirajući relej koji prikriva pravo podrijetlo napadača.
Sadržaj
Ciljanje zastarjelog hardvera i davno zaboravljenih ranjivosti
Kampanja je prvenstveno usmjerena na usmjerivače pokretane Realtek RTL819X čipsetima, hardverom koji se široko koristio između 2012. i 2015. godine. Istraživači su prvi put uočili zlonamjerni softver 12. ožujka 2026., kada su infekcije potekle s jedne IP adrese.
Raspoređeni zlonamjerni softver bio je Linux ELF binarni program koji je isprva izbjegavao otkrivanje od strane svih tražilica na VirusTotalu. Zaraza je postignuta iskorištavanjem dvije starije ranjivosti:
- CVE-2013-3307 utječe na određene Linksys usmjerivače.
- CVE-2016-5681 utječe na određene D-Link uređaje.
Većina kompromitiranih sustava su D-Link proizvodi, pri čemu model DIR-850L čini otprilike 75 posto infekcija. Geografski gledano, infekcije su koncentrirane u Južnoj Koreji (48 posto) i Kini (32 posto), a slijede Švedska, Malezija i Singapur.
Proširenje izvan usmjerivača
Druga varijanta zlonamjernog softvera pojavila se 26. travnja 2026., ciljajući QNAP NAS uređaje putem CVE-2025-11837, ranjivosti ubrizgavanja koda koja utječe na QNAP-ov uslužni program Malware Remover. Iako je ranjivost već bila zakrpana u studenom 2025., napadači su je počeli iskorištavati nekoliko mjeseci kasnije.
Ironično, vektor zaraze je aplikacija za uklanjanje zlonamjernog softvera samog NAS uređaja. Prijavljena brojka od 4300 kompromitiranih sustava uključuje samo zaražene RTL819X usmjerivače i ne uzima u obzir pogođene NAS uređaje.
Lagani zlonamjerni softver s moćnim mogućnostima
Verzija AryStingera za usmjerivač napisana je u C-u i namjerno ostaje lagana zbog ograničenih resursa starijeg hardvera. Njegove primarne funkcije su masovno skeniranje DNS-a i tuneliranje prometa.
NAS verzija, razvijena u Gou, pruža znatno šire mogućnosti. Može skenirati i interne i eksterne mreže te implementirati uslužne programe za izviđanje kao što su fscan, ksubdomain i httpx. Značajka poznata kao ScriptWork omogućuje operaterima da izravno na zaraženom sustavu izvrše Go, Java ili Python izvorni kod koji je dostavio napadač, eliminirajući potrebu za kompajliranjem zasebnih binarnih datoteka za svaku metu.
Komunikacija između zaraženih uređaja i C2 (command-and-control) poslužitelja odvija se putem HTTP-a i HTTPS-a korištenjem Protobuf-kodiranog prometa maskiranog jednostavnom XOR shemom, dok varijanta temeljena na Go-u dodaje gzip kompresiju. Veliki zadaci skeniranja podijeljeni su u manje segmente i distribuirani po botnetu, omogućujući paralelne operacije izviđanja.
Upornost i potencijal za zlouporabu
Zlonamjerni softver održava dugoročni pristup postavljanjem Dropbear SSH poslužitelja na port 2332 za usmjerivače i gs-netcat na kompromitirane NAS sustave. Istražitelji su također identificirali kodirani autentifikacijski ključ, 'sh_#@!_2024_secret', čije uključivanje '2024' može ukazivati na to da je razvoj operacije započeo te godine, iako se to ne može sa sigurnošću potvrditi.
Iako se čini da je izviđanje primarni cilj, mogućnosti skeniranja DNS-a zlonamjernog softvera mogu se preusmjeriti i prema DNS resolverima kako bi se generirao promet uskraćivanja usluge kada je to potrebno.
Poznati obrazac: Mreže operativnih relejnih kutija
Infrastruktura koju je stvorio AryStinger vrlo je slična mrežama Operational Relay Box (ORB). Ove mreže sastoje se od kompromitiranih usmjerivača na kraju životnog vijeka i IoT uređaja koji omogućuju prijetnjama provođenje operacija skeniranja i prenošenje zlonamjernog prometa, a istovremeno ih je teško pratiti.
Pristup podsjeća na prethodne incidente. U svibnju 2025. FBI i američko Ministarstvo pravosuđa demontirali su usluge 5socks i Anyproxy, koje su unovčavale pristup rezidencijalnim proxyjima iskorištavajući zastarjele Linksys i Cisco usmjerivače zaražene zlonamjernim softverom TheMoon. U novije vrijeme, ORB operacije poput LapDogs slično su se oslanjale na nezakrpane ranjivosti u starijim uređajima.
Trenutno se AryStinger nije konačno pripisao nijednom određenom akteru prijetnje. Međutim, operativni model je nepogrešiv: zastarjeli hardver i zaboravljene ranjivosti pretvaraju se u prikrivenu infrastrukturu koja podržava početne faze sofisticiranih kibernetičkih upada.
Strategije otkrivanja i ublažavanja
Organizacije i pojedinci koji rukuju potencijalno pogođenom opremom trebaju odmah istražiti pokazatelje kompromitiranja i provesti dugoročne mjere sanacije.
- Pratite odlazne veze s AryStingerovim naredbenim i kontrolnim poslužiteljima i domenama za preuzimanje.
- Pregledajte direktorij /tmp/bin za nepoznate binarne datoteke.
- Potražite sumnjive procese pod nazivom syswapd0h ili syswapd0w.
Najučinkovitija obrana ostaje jednostavna: ukinuti mrežnu opremu koja više ne prima ažuriranja firmvera i onemogućiti udaljenu administraciju na uređajima koji su izloženi internetu kad god je to moguće. Hardver koji je prije godina prestao primati sigurnosne zakrpe vjerojatno neće dobiti zaštitu od modernih prijetnji.