위협 데이터베이스 멀웨어 AryStinger 멀웨어

AryStinger 멀웨어

최근 발견된 AryStinger라는 악성코드 계열은 기존의 분산 서비스 거부(DDoS) 봇넷과는 달리, 버려진 가정용 공유기를 대규모 정찰 및 프록시 네트워크로 변모시키고 있습니다. 보안 연구원들은 이미 최소 4,300대의 공유기가 감염된 것을 확인했으며, 그 수는 계속 증가할 것으로 예상됩니다.

기존 악성코드 캠페인이 서비스 중단에 초점을 맞추는 것과 달리, AryStinger는 사이버 침입 초기 단계를 지원하도록 설계되었습니다. 감염된 장치는 인터넷을 스캔하고, 실행 중인 서비스를 식별하고, 서브도메인을 열거하고, 네트워크 트래픽을 터널링하고, 원격으로 명령을 실행한 후 수집된 정보를 운영자에게 전송하는 데 사용됩니다. 감염된 모든 라우터는 정찰 노드이자 공격자의 실제 출처를 숨기는 익명화 릴레이 역할을 효과적으로 수행합니다.

노후화된 하드웨어와 오랫동안 잊혀진 취약점을 공략

이 공격 캠페인은 주로 2012년부터 2015년 사이에 널리 사용되었던 Realtek RTL819X 칩셋이 탑재된 라우터를 대상으로 합니다. 연구원들은 2026년 3월 12일, 단일 IP 주소에서 감염이 시작된 것을 처음으로 확인했습니다.

배포된 악성코드는 Linux ELF 바이너리였으며, 처음에는 VirusTotal의 모든 탐지 엔진에서 탐지를 회피했습니다. 이 악성코드는 두 가지 오래된 취약점을 악용하여 감염을 일으켰습니다.

  • 특정 Linksys 라우터에 영향을 미치는 CVE-2013-3307 취약점입니다.
  • CVE-2016-5681은 특정 D-Link 장치에 영향을 미칩니다.

감염된 시스템의 대부분은 D-Link 제품이며, 그중 DIR-850L 모델이 약 75%를 차지합니다. 지역별로는 한국(48%)과 중국(32%)에 집중되어 있으며, 스웨덴, 말레이시아, 싱가포르가 그 뒤를 잇습니다.

라우터를 넘어선 확장

2026년 4월 26일, 두 번째 악성코드 변종이 등장하여 QNAP NAS 장치를 공격했습니다. 이 변종은 QNAP의 악성코드 제거 유틸리티에 영향을 미치는 코드 삽입 취약점(CVE-2025-11837)을 이용합니다. 해당 취약점은 2025년 11월에 이미 패치되었지만, 공격자들은 몇 달 후부터 이를 악용하기 시작했습니다.

아이러니하게도 감염 경로는 NAS 장비 자체의 악성코드 제거 애플리케이션입니다. 보고된 4,300대 감염 시스템 수치는 감염된 RTL819X 라우터만을 포함하며, 영향을 받은 NAS 장치는 포함하지 않습니다.

강력한 기능을 갖춘 경량 악성 소프트웨어

AryStinger의 라우터 버전은 C 언어로 작성되었으며, 구형 하드웨어의 제한된 리소스를 고려하여 의도적으로 경량화되었습니다. 주요 기능은 대규모 DNS 스캔 및 트래픽 터널링입니다.

Go 언어로 개발된 NAS 버전은 훨씬 더 광범위한 기능을 제공합니다. 내부 및 외부 네트워크를 모두 스캔할 수 있으며 fscan, ksubdomain, httpx와 같은 정찰 유틸리티를 배포할 수 있습니다. ScriptWork라는 기능을 통해 공격자는 감염된 시스템에서 공격자가 제공한 Go, Java 또는 Python 소스 코드를 직접 실행할 수 있으므로 각 대상에 대해 별도의 바이너리를 컴파일할 필요가 없습니다.

감염된 장치와 명령 및 제어(C2) 서버 간의 통신은 HTTP 및 HTTPS를 통해 이루어지며, 간단한 XOR 방식으로 난독화된 Protobuf 인코딩 트래픽을 사용합니다. Go 기반 변종은 여기에 gzip 압축을 추가합니다. 대규모 스캔 작업은 더 작은 세그먼트로 분할되어 봇넷 전체에 분산되므로 병렬 정찰 작업이 가능합니다.

지속성과 남용 가능성

해당 악성코드는 라우터의 2332번 포트에 Dropbear SSH 서버를, 감염된 NAS 시스템에는 gs-netcat을 배포하여 장기간 접근 권한을 유지합니다. 조사관들은 또한 'sh_#@!_2024_secret'이라는 하드코딩된 인증 키를 발견했는데, 이 키에 '2024'가 포함된 것으로 보아 해당 악성코드 개발이 그 해에 시작되었을 가능성이 있지만 확실하게 확인할 수는 없습니다.

정찰이 주된 목적이지만, 이 악성코드의 DNS 스캔 기능은 필요에 따라 DNS 리졸버를 대상으로 하여 서비스 거부 공격을 발생시키는 데에도 사용될 수 있습니다.

익숙한 패턴: 운영 중인 중계 박스 네트워크

AryStinger가 구축한 인프라는 운영 릴레이 박스(ORB) 네트워크와 매우 유사합니다. 이러한 네트워크는 수명이 다한 라우터와 IoT 장치가 손상되어 스캔 작업을 수행하고 악성 트래픽을 중계하는 동시에 추적을 어렵게 만듭니다.

이러한 접근 방식은 과거 사건들을 떠올리게 합니다. 2025년 5월, FBI와 미국 법무부는 구형 Linksys 및 Cisco 라우터에 TheMoon 멀웨어를 감염시켜 가정용 프록시 접속을 통해 수익을 창출하던 5socks 및 Anyproxy 서비스를 해체했습니다. 최근에는 LapDogs와 같은 ORB(온라인 프록시 서버) 운영 업체들이 이와 유사하게 노후 기기의 패치되지 않은 취약점을 이용하고 있습니다.

현재까지 AryStinger는 특정 공격자의 소행으로 확실하게 밝혀지지 않았습니다. 그러나 그 운영 방식은 분명합니다. 즉, 구형 하드웨어와 잊혀진 취약점을 활용하여 정교한 사이버 침입의 초기 단계를 지원하는 은밀한 인프라를 구축하고 있는 것입니다.

탐지 및 완화 전략

잠재적으로 영향을 받은 장비를 사용하는 조직 및 개인은 즉시 침해 징후를 조사하고 장기적인 복구 조치를 시행해야 합니다.

  • AryStinger 명령 및 제어 서버와 다운로드 도메인에 대한 외부 연결을 모니터링합니다.
  • /tmp/bin 디렉터리에서 익숙하지 않은 바이너리 파일이 있는지 확인하십시오.
  • syswapd0h 또는 syswapd0w라는 이름의 의심스러운 프로세스를 검색하십시오.
  • 가장 효과적인 방어책은 간단합니다. 펌웨어 업데이트가 중단된 노후 네트워크 장비를 폐기하고, 인터넷에 노출된 장치의 원격 관리 기능을 가능한 한 비활성화하는 것입니다. 수년 전에 보안 패치가 중단된 하드웨어는 최신 위협으로부터 보호받을 가능성이 낮습니다.

    가장 많이 본

    로드 중...