AryStinger-skadevare
En nylig oppdaget skadevarefamilie, kalt AryStinger, forvandler forlatte hjemmerutere til et storstilt rekognoserings- og proxy-nettverk i stedet for de tradisjonelle distribuerte denial-of-service (DDoS) botnettene som vanligvis er forbundet med kompromitterte nettverksenheter. Sikkerhetsforskere har allerede identifisert minst 4300 infiserte rutere, og antallet forventes å fortsette å øke.
I motsetning til konvensjonelle skadevarekampanjer som fokuserer på å forstyrre tjenester, er AryStinger utviklet for å støtte de tidlige stadiene av cyberinnbrudd. Kompromitterte enheter brukes til å skanne internett, identifisere kjørende tjenester, liste opp underdomener, tunnelere nettverkstrafikk og utføre kommandoer eksternt før den innsamlede informasjonen sendes tilbake til operatørene. Hver infiserte ruter fungerer effektivt som både en rekognoseringsnode og et anonymiseringsrelé som skjuler angriperens sanne opprinnelse.
Innholdsfortegnelse
Målretting mot aldrende maskinvare og lenge glemte sårbarheter
Kampanjen retter seg primært mot rutere drevet av Realtek RTL819X-brikkesett, maskinvare som var mye brukt mellom 2012 og 2015. Forskere observerte først skadevaren 12. mars 2026, da infeksjonene stammet fra en enkelt IP-adresse.
Den utplasserte skadelige programvaren var en Linux ELF-binærfil som i utgangspunktet ikke ble oppdaget av noen av søkemotorene på VirusTotal. Den ble infisert ved å utnytte to eldre sårbarheter:
- CVE-2013-3307 som påvirker visse Linksys-rutere.
- CVE-2016-5681 påvirker spesifikke D-Link-enheter.
De fleste av de kompromitterte systemene er D-Link-produkter, og DIR-850L-modellen står for omtrent 75 prosent av infeksjonene. Geografisk sett er infeksjonene konsentrert i Sør-Korea (48 prosent) og Kina (32 prosent), etterfulgt av Sverige, Malaysia og Singapore.
Utvidelse utover rutere
En annen variant av skadelig programvare dukket opp 26. april 2026, og var rettet mot QNAP NAS-enheter gjennom CVE-2025-11837, en sårbarhet for kodeinjeksjon som påvirker QNAPs Malware Remover-verktøy. Selv om sårbarheten allerede var blitt oppdatert i november 2025, begynte angripere å utnytte den flere måneder senere.
Ironisk nok er infeksjonsvektoren NAS-enhetens eget program for fjerning av skadelig programvare. Det rapporterte tallet på 4300 kompromitterte systemer inkluderer bare de infiserte RTL819X-ruterne og tar ikke hensyn til berørte NAS-enheter.
Lett skadelig programvare med kraftige funksjoner
Ruterversjonen av AryStinger er skrevet i C og er bevisst lettvektig på grunn av de begrensede ressursene til eldre maskinvare. Hovedfunksjonene er masseskanning av DNS og trafikktunneling.
NAS-versjonen, utviklet i Go, tilbyr betydelig bredere muligheter. Den kan skanne både interne og eksterne nettverk og distribuere rekognoseringsverktøy som fscan, ksubdomain og httpx. En funksjon kjent som ScriptWork lar operatører kjøre angriperlevert Go-, Java- eller Python-kildekode direkte på det infiserte systemet, noe som eliminerer behovet for å kompilere separate binærfiler for hvert mål.
Kommunikasjon mellom infiserte enheter og kommando- og kontrollservere (C2) skjer over HTTP og HTTPS ved hjelp av Protobuf-kodet trafikk som er tilslørt med et enkelt XOR-skjema, mens den Go-baserte varianten legger til gzip-komprimering. Store skanneoppgaver deles inn i mindre segmenter og distribueres over botnettet, noe som muliggjør parallelle rekognoseringsoperasjoner.
Vedvarende og potensial for misbruk
Skadevaren opprettholder langsiktig tilgang ved å distribuere en Dropbear SSH-server på port 2332 for rutere og gs-netcat på kompromitterte NAS-systemer. Etterforskerne identifiserte også en hardkodet autentiseringsnøkkel, 'sh_#@!_2024_secret', der inkluderingen av '2024' kan indikere at utviklingen av operasjonen startet det året, selv om dette ikke kan bekreftes med sikkerhet.
Selv om rekognosering ser ut til å være hovedmålet, kan skadevarens DNS-skanningsmuligheter også omdirigeres mot DNS-resolvere for å generere tjenestenekt-trafikk når det er nødvendig.
Et kjent mønster: Operasjonelle reléboksnettverk
Infrastrukturen som AryStinger har laget ligner mye på ORB-nettverk (Operational Relay Box). Disse nettverkene består av kompromitterte uttjente rutere og IoT-enheter som gjør det mulig for trusselaktører å utføre skanneoperasjoner og videresende ondsinnet trafikk, samtidig som de er vanskelige å spore.
Tilnærmingen gjenspeiler tidligere hendelser. I mai 2025 avviklet FBI og det amerikanske justisdepartementet tjenestene 5socks og Anyproxy, som hadde tjent penger på proxy-tilgang for boliger ved å utnytte utdaterte Linksys- og Cisco-rutere infisert med TheMoon-skadevare. Nylig har ORB-operasjoner som LapDogs på lignende måte vært avhengige av uoppdaterte sårbarheter i eldre enheter.
For øyeblikket er ikke AryStinger endelig knyttet til noen spesifikk trusselaktør. Den operative modellen er imidlertid umiskjennelig: foreldet maskinvare og glemte sårbarheter blir omgjort til skjult infrastruktur som støtter de innledende stadiene av sofistikerte cybertrusler.
Strategier for deteksjon og begrensning
Organisasjoner og enkeltpersoner som bruker potensielt berørt utstyr bør umiddelbart undersøke tegn på kompromittering og implementere langsiktige utbedringstiltak.
- Overvåk utgående tilkoblinger til AryStinger kommando- og kontrollservere og nedlastingsdomener.
- Undersøk /tmp/bin-katalogen for ukjente binærfiler.
- Søk etter mistenkelige prosesser kalt syswapd0h eller syswapd0w.
Det mest effektive forsvaret er fortsatt enkelt: å sette ut nettverksutstyr som ikke lenger mottar fastvareoppdateringer, og deaktivere ekstern administrasjon på internett-eksponerte enheter når det er mulig. Maskinvare som sluttet å motta sikkerhetsoppdateringer for mange år siden, vil sannsynligvis ikke få beskyttelse mot moderne trusler.