Oprogramowanie złośliwe AryStinger
Nowo odkryta rodzina złośliwego oprogramowania o nazwie AryStinger przekształca porzucone routery domowe w rozległą sieć rozpoznawczą i proxy, zamiast tradycyjnych botnetów typu DDoS (Distributed Denial of Service), powszechnie kojarzonych z zainfekowanymi urządzeniami sieciowymi. Badacze bezpieczeństwa zidentyfikowali już co najmniej 4300 zainfekowanych routerów, a liczba ta prawdopodobnie będzie nadal rosła.
W przeciwieństwie do konwencjonalnych kampanii malware, które koncentrują się na zakłócaniu usług, AryStinger został zaprojektowany z myślą o wspieraniu wczesnych etapów cyberataków. Zainfekowane urządzenia są wykorzystywane do skanowania internetu, identyfikowania działających usług, enumeracji subdomen, tunelowania ruchu sieciowego i zdalnego wykonywania poleceń, a następnie przesyłania zebranych informacji z powrotem do operatorów. Każdy zainfekowany router skutecznie pełni funkcję zarówno węzła rozpoznawczego, jak i anonimowego przekaźnika, który ukrywa prawdziwe pochodzenie atakującego.
Spis treści
Celowanie w starzejący się sprzęt i dawno zapomniane luki w zabezpieczeniach
Kampania jest wymierzona przede wszystkim w routery z chipsetami Realtek RTL819X, sprzętem powszechnie używanym w latach 2012–2015. Badacze po raz pierwszy zaobserwowali złośliwe oprogramowanie 12 marca 2026 r., gdy infekcja pochodziła z pojedynczego adresu IP.
Wdrożone złośliwe oprogramowanie to plik binarny ELF dla systemu Linux, który początkowo unikał wykrycia przez wszystkie wyszukiwarki w serwisie VirusTotal. Do infekcji doszło, wykorzystując dwie starsze luki:
- CVE-2013-3307 dotyczy niektórych routerów Linksys.
- CVE-2016-5681 dotyczy określonych urządzeń D-Link.
Większość zainfekowanych systemów to produkty firmy D-Link, a model DIR-850L odpowiada za około 75% infekcji. Geograficznie, infekcje koncentrują się w Korei Południowej (48%) i Chinach (32%), a następnie w Szwecji, Malezji i Singapurze.
Rozszerzenie poza routery
Drugi wariant złośliwego oprogramowania pojawił się 26 kwietnia 2026 roku i atakował urządzenia NAS firmy QNAP za pośrednictwem luki w zabezpieczeniach CVE-2025-11837, umożliwiającej wstrzyknięcie kodu i wpływającej na narzędzie Malware Remover firmy QNAP. Chociaż luka została załatana już w listopadzie 2025 roku, atakujący zaczęli ją wykorzystywać kilka miesięcy później.
Jak na ironię, wektorem infekcji jest aplikacja do usuwania złośliwego oprogramowania zainstalowana na urządzeniu NAS. Zgłoszona liczba 4300 zainfekowanych systemów obejmuje jedynie zainfekowane routery RTL819X i nie uwzględnia zainfekowanych urządzeń NAS.
Lekkie złośliwe oprogramowanie o potężnych możliwościach
Wersja routera AryStinger została napisana w języku C i celowo zachowuje lekkość ze względu na ograniczone zasoby starszego sprzętu. Jej głównymi funkcjami są masowe skanowanie DNS i tunelowanie ruchu.
Wersja NAS, opracowana w języku Go, oferuje znacznie szersze możliwości. Potrafi skanować sieci wewnętrzne i zewnętrzne oraz wdrażać narzędzia rozpoznawcze, takie jak fscan, ksubdomain i httpx. Funkcja znana jako ScriptWork pozwala operatorom na wykonywanie dostarczonego przez atakującego kodu źródłowego w językach Go, Java lub Python bezpośrednio w zainfekowanym systemie, eliminując potrzebę kompilowania oddzielnych plików binarnych dla każdego celu.
Komunikacja między zainfekowanymi urządzeniami a serwerami dowodzenia i kontroli (C2) odbywa się za pośrednictwem protokołów HTTP i HTTPS, wykorzystując ruch zakodowany w protokole Protobuf i zaciemniony prostym algorytmem XOR. Wariant oparty na Go dodaje kompresję gzip. Duże zadania skanowania są dzielone na mniejsze segmenty i rozproszone w całym botnecie, co umożliwia równoległe operacje rozpoznawcze.
Trwałość i potencjał nadużyć
Szkodliwe oprogramowanie utrzymuje długotrwały dostęp poprzez wdrożenie serwera Dropbear SSH na porcie 2332 dla routerów i gs-netcat w zainfekowanych systemach NAS. Śledczy zidentyfikowali również zakodowany na stałe klucz uwierzytelniania „sh_#@!_2024_secret”, którego obecność „2024” może wskazywać, że operacja rozpoczęła się w tym roku, choć nie można tego potwierdzić z całą pewnością.
Mimo że głównym celem wydaje się być rozpoznanie, możliwości skanowania DNS przez złośliwe oprogramowanie można również przekierować do resolverów DNS, aby w razie potrzeby generować ruch powodujący odmowę usługi.
Znajomy wzór: sieci przekaźników operacyjnych
Infrastruktura stworzona przez AryStinger jest bardzo podobna do sieci Operational Relay Box (ORB). Sieci te składają się z zainfekowanych, wycofanych z eksploatacji routerów i urządzeń IoT, które umożliwiają atakującym przeprowadzanie operacji skanowania i przekazywanie złośliwego ruchu, jednocześnie utrudniając ich śledzenie.
Podejście to nawiązuje do poprzednich incydentów. W maju 2025 roku FBI i Departament Sprawiedliwości USA zlikwidowały usługi 5socks i Anyproxy, które wykorzystywały przestarzałe routery Linksys i Cisco zainfekowane złośliwym oprogramowaniem TheMoon do monetyzacji dostępu do serwerów proxy w domach. Ostatnio operacje ORB, takie jak LapDogs, również opierały się na niezałatanych lukach w starzejących się urządzeniach.
Obecnie nie udało się jednoznacznie przypisać AryStingerowi żadnego konkretnego podmiotu zagrażającego bezpieczeństwu. Model operacyjny jest jednak jednoznaczny: przestarzały sprzęt i zapomniane luki w zabezpieczeniach są przekształcane w ukrytą infrastrukturę, która obsługuje początkowe etapy zaawansowanych cyberataków.
Strategie wykrywania i łagodzenia
Organizacje i osoby obsługujące potencjalnie zagrożony sprzęt powinny natychmiast sprawdzić, czy nie ma oznak zagrożenia, i wdrożyć długoterminowe środki zaradcze.
- Monitoruj połączenia wychodzące do serwerów poleceń i kontroli AryStinger oraz domen pobierania.
- Sprawdź katalog /tmp/bin pod kątem nieznanych plików binarnych.
- Wyszukaj podejrzane procesy o nazwie syswapd0h lub syswapd0w.
Najskuteczniejsza obrona pozostaje prosta: wycofaj z eksploatacji sprzęt sieciowy, który nie otrzymuje już aktualizacji oprogramowania sprzętowego, i wyłącz zdalne administrowanie urządzeniami narażonymi na dostęp do internetu, gdy tylko jest to możliwe. Sprzęt, który lata temu przestał otrzymywać poprawki zabezpieczeń, prawdopodobnie nie będzie już chroniony przed współczesnymi zagrożeniami.