Database delle minacce Malware Malware AryStinger

Malware AryStinger

Una famiglia di malware recentemente scoperta, denominata AryStinger, sta trasformando i router domestici abbandonati in una vasta rete di ricognizione e proxy, anziché nelle tradizionali botnet di attacchi DDoS (Distributed Denial of Service) comunemente associate ai dispositivi di rete compromessi. I ricercatori nel campo della sicurezza hanno già identificato almeno 4.300 router infetti e si prevede che il numero continuerà a crescere.

A differenza delle tradizionali campagne malware che si concentrano sull'interruzione dei servizi, AryStinger è progettato per supportare le fasi iniziali delle intrusioni informatiche. I dispositivi compromessi vengono utilizzati per scansionare Internet, identificare i servizi in esecuzione, enumerare i sottodomini, instradare il traffico di rete ed eseguire comandi da remoto prima di trasmettere le informazioni raccolte agli operatori. Ogni router infetto funge di fatto sia da nodo di ricognizione che da relay di anonimizzazione che nasconde la vera origine dell'attaccante.

Individuare e neutralizzare l’hardware obsoleto e le vulnerabilità dimenticate da tempo.

La campagna prende di mira principalmente i router dotati di chipset Realtek RTL819X, hardware ampiamente utilizzato tra il 2012 e il 2015. I ricercatori hanno individuato il malware per la prima volta il 12 marzo 2026, quando le infezioni provenivano da un singolo indirizzo IP.

Il malware distribuito era un binario Linux ELF che inizialmente è riuscito a eludere il rilevamento da parte di tutti i motori di VirusTotal. Ha ottenuto l'infezione sfruttando due vulnerabilità preesistenti:

  • Vulnerabilità CVE-2013-3307 che interessa alcuni router Linksys.
  • La vulnerabilità CVE-2016-5681 interessa specifici dispositivi D-Link.

La maggior parte dei sistemi compromessi sono prodotti D-Link, con il modello DIR-850L che rappresenta circa il 75% delle infezioni. Dal punto di vista geografico, le infezioni sono concentrate in Corea del Sud (48%) e Cina (32%), seguite da Svezia, Malesia e Singapore.

Espansione oltre i router

Il 26 aprile 2026 è emersa una seconda variante di malware, mirata ai dispositivi NAS QNAP tramite la vulnerabilità CVE-2025-11837, una falla di sicurezza che consente l'iniezione di codice e che interessa l'utility Malware Remover di QNAP. Sebbene la vulnerabilità fosse già stata corretta nel novembre 2025, gli aggressori hanno iniziato a sfruttarla alcuni mesi dopo.

Ironicamente, il vettore di infezione è l'applicazione di rimozione malware del dispositivo NAS stesso. La cifra riportata di 4.300 sistemi compromessi include solo i router RTL819X infetti e non tiene conto dei dispositivi NAS interessati.

Malware leggero con potenti funzionalità

La versione router di AryStinger è scritta in C e, volutamente, rimane leggera a causa delle risorse limitate dell'hardware più datato. Le sue funzioni principali sono la scansione DNS di massa e il tunneling del traffico.

La versione NAS, sviluppata in Go, offre funzionalità notevolmente più ampie. Può scansionare reti interne ed esterne e distribuire utility di ricognizione come fscan, ksubdomain e httpx. Una funzionalità nota come ScriptWork consente agli operatori di eseguire codice sorgente Go, Java o Python fornito dall'attaccante direttamente sul sistema infetto, eliminando la necessità di compilare binari separati per ogni obiettivo.

La comunicazione tra i dispositivi infetti e i server di comando e controllo (C2) avviene tramite HTTP e HTTPS utilizzando traffico codificato in Protobuf e offuscato con un semplice schema XOR, mentre la variante basata su Go aggiunge la compressione gzip. Le attività di scansione di grandi dimensioni vengono suddivise in segmenti più piccoli e distribuiti sulla botnet, consentendo operazioni di ricognizione parallele.

Persistenza e potenziale di abuso

Il malware mantiene l'accesso a lungo termine installando un server SSH Dropbear sulla porta 2332 per i router e gs-netcat sui sistemi NAS compromessi. Gli investigatori hanno anche identificato una chiave di autenticazione hardcoded, 'sh_#@!_2024_secret', la cui inclusione di '2024' potrebbe indicare che lo sviluppo dell'operazione è iniziato in quell'anno, sebbene ciò non possa essere confermato con certezza.

Sebbene la ricognizione sembri essere l'obiettivo principale, le capacità di scansione DNS del malware possono anche essere reindirizzate verso i resolver DNS per generare traffico denial-of-service quando necessario.

Uno schema familiare: reti di scatole di derivazione operative.

L'infrastruttura creata da AryStinger assomiglia molto alle reti Operational Relay Box (ORB). Queste reti sono composte da router e dispositivi IoT a fine vita compromessi, che consentono agli autori di minacce di condurre operazioni di scansione e inoltrare traffico dannoso rimanendo al contempo difficili da rintracciare.

Questo approccio ricalca episodi precedenti. Nel maggio 2025, l'FBI e il Dipartimento di Giustizia degli Stati Uniti smantellarono i servizi 5socks e Anyproxy, che monetizzavano l'accesso proxy residenziale sfruttando router Linksys e Cisco obsoleti infettati dal malware TheMoon. Più recentemente, operazioni ORB come LapDogs si sono analogamente basate su vulnerabilità non corrette presenti in dispositivi datati.

Al momento, AryStinger non è stato attribuito in modo definitivo a un particolare gruppo di hacker. Tuttavia, il modello operativo è inequivocabile: hardware obsoleto e vulnerabilità dimenticate vengono trasformate in un'infrastruttura furtiva che supporta le fasi iniziali di sofisticate intrusioni informatiche.

Strategie di rilevamento e mitigazione

Le organizzazioni e i singoli individui che utilizzano apparecchiature potenzialmente interessate dovrebbero indagare immediatamente per individuare eventuali segnali di compromissione e implementare misure di bonifica a lungo termine.

  • Monitorare le connessioni in uscita verso i server di comando e controllo di AryStinger e i domini di download.
  • Controlla la directory /tmp/bin alla ricerca di file binari sconosciuti.
  • Cerca processi sospetti denominati syswapd0h o syswapd0w.

La difesa più efficace rimane semplice: dismettere le apparecchiature di rete obsolete che non ricevono più aggiornamenti del firmware e disabilitare, ove possibile, l'amministrazione remota sui dispositivi esposti a Internet. È improbabile che l'hardware che ha smesso di ricevere patch di sicurezza anni fa sia protetto dalle minacce moderne.

I più visti

Caricamento in corso...