Bedreigingsdatabase Malware AryStinger-malware

AryStinger-malware

Een recent ontdekte malwarefamilie, genaamd AryStinger, transformeert verlaten thuisrouters in een grootschalig verkennings- en proxynetwerk in plaats van de traditionele DDoS-botnets (distributed denial-of-service) die doorgaans geassocieerd worden met gecompromitteerde netwerkapparaten. Beveiligingsonderzoekers hebben al minstens 4300 geïnfecteerde routers geïdentificeerd en naar verwachting zal dit aantal blijven groeien.

In tegenstelling tot conventionele malwarecampagnes die zich richten op het verstoren van diensten, is AryStinger ontworpen om de vroege stadia van cyberaanvallen te ondersteunen. Gecompromitteerde apparaten worden gebruikt om het internet te scannen, actieve diensten te identificeren, subdomeinen te inventariseren, netwerkverkeer te tunnelen en op afstand commando's uit te voeren, waarna de verzamelde informatie wordt teruggestuurd naar de beheerders. Elke geïnfecteerde router fungeert in feite als zowel een verkenningsknooppunt als een anonimiserende relay die de ware oorsprong van de aanvaller verbergt.

Het aanpakken van verouderde hardware en lang vergeten kwetsbaarheden

De campagne richt zich voornamelijk op routers met Realtek RTL819X-chipsets, hardware die tussen 2012 en 2015 veelvuldig werd gebruikt. Onderzoekers ontdekten de malware voor het eerst op 12 maart 2026, toen infecties afkomstig waren van één enkel IP-adres.

De verspreide malware was een Linux ELF-binair bestand dat aanvankelijk door alle zoekmachines op VirusTotal werd ontweken. De infectie werd bereikt door misbruik te maken van twee oudere kwetsbaarheden:

  • CVE-2013-3307 treft bepaalde Linksys-routers.
  • CVE-2016-5681 heeft gevolgen voor specifieke D-Link-apparaten.

De meeste geïnfecteerde systemen zijn D-Link-producten, waarbij het DIR-850L-model verantwoordelijk is voor ongeveer 75 procent van de infecties. Geografisch gezien zijn de infecties geconcentreerd in Zuid-Korea (48 procent) en China (32 procent), gevolgd door Zweden, Maleisië en Singapore.

Uitbreiding buiten routers

Op 26 april 2026 dook een tweede malwarevariant op, gericht op QNAP NAS-apparaten via CVE-2025-11837, een code-injectiekwetsbaarheid die de Malware Remover-utility van QNAP trof. Hoewel de kwetsbaarheid al in november 2025 was verholpen, begonnen aanvallers deze enkele maanden later te misbruiken.

Ironisch genoeg is de infectiebron de eigen malwareverwijderingsapplicatie van het NAS-apparaat. Het gerapporteerde aantal van 4300 geïnfecteerde systemen omvat alleen de geïnfecteerde RTL819X-routers en houdt geen rekening met getroffen NAS-apparaten.

Lichtgewicht malware met krachtige mogelijkheden

De routerversie van AryStinger is geschreven in C en is bewust lichtgewicht gehouden vanwege de beperkte resources van oudere hardware. De belangrijkste functies zijn het massaal scannen van DNS-servers en het tunnelen van dataverkeer.

De NAS-versie, ontwikkeld in Go, biedt aanzienlijk bredere mogelijkheden. Deze kan zowel interne als externe netwerken scannen en verkenningsprogramma's zoals fscan, ksubdomain en httpx inzetten. Een functie genaamd ScriptWork stelt operators in staat om door de aanvaller aangeleverde Go-, Java- of Python-broncode rechtstreeks op het geïnfecteerde systeem uit te voeren, waardoor het niet nodig is om voor elk doelwit aparte binaire bestanden te compileren.

Communicatie tussen geïnfecteerde apparaten en command-and-control (C2)-servers vindt plaats via HTTP en HTTPS met behulp van Protobuf-gecodeerd verkeer dat is versleuteld met een eenvoudig XOR-schema, terwijl de op Go gebaseerde variant gzip-compressie toevoegt. Grote scantaken worden opgedeeld in kleinere segmenten en verdeeld over het botnet, waardoor parallelle verkenningsoperaties mogelijk zijn.

Volharding en potentieel voor misbruik

De malware behoudt langdurige toegang door een Dropbear SSH-server op poort 2332 te installeren voor routers en gs-netcat op gecompromitteerde NAS-systemen. Onderzoekers identificeerden ook een hardgecodeerde authenticatiesleutel, 'sh_#@!_2024_secret', waarvan de aanwezigheid van '2024' erop kan wijzen dat de ontwikkeling van de operatie in dat jaar is begonnen, hoewel dit niet met zekerheid kan worden bevestigd.

Hoewel verkenning het primaire doel lijkt te zijn, kunnen de DNS-scanmogelijkheden van de malware ook worden omgeleid naar DNS-resolvers om zo nodig denial-of-service-aanvallen uit te voeren.

Een bekend patroon: operationele relaisnetwerken

De infrastructuur die door AryStinger is gecreëerd, vertoont grote gelijkenis met Operational Relay Box (ORB)-netwerken. Deze netwerken bestaan uit gecompromitteerde, verouderde routers en IoT-apparaten waarmee cybercriminelen scans kunnen uitvoeren en kwaadaardig verkeer kunnen doorsturen, terwijl ze moeilijk te traceren blijven.

Deze aanpak doet denken aan eerdere incidenten. In mei 2025 ontmantelden de FBI en het Amerikaanse ministerie van Justitie de diensten 5socks en Anyproxy, die inkomsten genereerden met proxytoegang voor particulieren door misbruik te maken van verouderde Linksys- en Cisco-routers die geïnfecteerd waren met de TheMoon-malware. Meer recentelijk hebben ORB-operaties zoals LapDogs op vergelijkbare wijze gebruikgemaakt van niet-gepatchte kwetsbaarheden in verouderde apparaten.

AryStinger is tot nu toe nog niet met zekerheid toegeschreven aan een specifieke cybercrimineel. Het werkingsmodel is echter onmiskenbaar: verouderde hardware en vergeten kwetsbaarheden worden omgezet in een onopvallende infrastructuur die de eerste fasen van geavanceerde cyberaanvallen ondersteunt.

Detectie- en mitigatiestrategieën

Organisaties en personen die mogelijk getroffen apparatuur gebruiken, moeten onmiddellijk onderzoek doen naar aanwijzingen van een inbreuk en langetermijnmaatregelen treffen om het probleem op te lossen.

  • Monitor uitgaande verbindingen naar AryStinger command-and-control servers en downloaddomeinen.
  • Controleer de map /tmp/bin op onbekende binaire bestanden.
  • Zoek naar verdachte processen met de naam syswapd0h of syswapd0w.

De meest effectieve verdediging blijft eenvoudig: vervang verouderde netwerkapparatuur die geen firmware-updates meer ontvangt en schakel beheer op afstand uit op apparaten die met internet verbonden zijn, waar mogelijk. Hardware die jaren geleden geen beveiligingspatches meer ontving, is waarschijnlijk niet beschermd tegen moderne bedreigingen.

Meest bekeken

Bezig met laden...