Malware AryStinger
Uma família de malware recém-descoberta, chamada AryStinger, está transformando roteadores domésticos abandonados em uma rede de reconhecimento e proxy em larga escala, em vez das tradicionais botnets de negação de serviço distribuída (DDoS) comumente associadas a dispositivos de rede comprometidos. Pesquisadores de segurança já identificaram pelo menos 4.300 roteadores infectados, e espera-se que esse número continue a crescer.
Ao contrário das campanhas de malware convencionais que se concentram em interromper serviços, o AryStinger foi projetado para dar suporte aos estágios iniciais de intrusões cibernéticas. Dispositivos comprometidos são usados para escanear a internet, identificar serviços em execução, enumerar subdomínios, tunelar tráfego de rede e executar comandos remotamente antes de transmitir as informações coletadas de volta aos operadores. Cada roteador infectado funciona efetivamente como um nó de reconhecimento e um repetidor de anonimato que oculta a verdadeira origem do atacante.
Índice
Visando hardware antigo e vulnerabilidades há muito esquecidas
A campanha tem como alvo principal roteadores equipados com chipsets Realtek RTL819X, hardware amplamente utilizado entre 2012 e 2015. Os pesquisadores observaram o malware pela primeira vez em 12 de março de 2026, quando as infecções se originaram de um único endereço IP.
O malware implantado era um binário ELF para Linux que inicialmente escapou à detecção de todos os mecanismos do VirusTotal. Ele conseguiu infectar o sistema explorando duas vulnerabilidades antigas:
- A vulnerabilidade CVE-2013-3307 afeta determinados roteadores Linksys.
- A vulnerabilidade CVE-2016-5681 afeta dispositivos específicos da D-Link.
A maioria dos sistemas comprometidos são produtos da D-Link, sendo o modelo DIR-850L responsável por aproximadamente 75% das infecções. Geograficamente, as infecções estão concentradas na Coreia do Sul (48%) e na China (32%), seguidas pela Suécia, Malásia e Singapura.
Expansão além dos roteadores
Uma segunda variante de malware surgiu em 26 de abril de 2026, visando dispositivos NAS da QNAP por meio da vulnerabilidade CVE-2025-11837, uma falha de injeção de código que afetava o utilitário de remoção de malware da QNAP. Embora a vulnerabilidade já tivesse sido corrigida em novembro de 2025, os atacantes começaram a explorá-la meses depois.
Ironicamente, o vetor de infecção é o próprio aplicativo de remoção de malware do dispositivo NAS. O número relatado de 4.300 sistemas comprometidos inclui apenas os roteadores RTL819X infectados e não contabiliza os dispositivos NAS afetados.
Malware leve com recursos poderosos
A versão para roteadores do AryStinger é escrita em C e intencionalmente mantida leve devido aos recursos limitados de hardware mais antigo. Suas funções principais são varredura DNS em massa e tunelamento de tráfego.
A versão NAS, desenvolvida em Go, oferece capacidades significativamente mais amplas. Ela pode escanear redes internas e externas e implantar utilitários de reconhecimento como fscan, ksubdomain e httpx. Um recurso conhecido como ScriptWork permite que os operadores executem código-fonte em Go, Java ou Python fornecido pelo atacante diretamente no sistema infectado, eliminando a necessidade de compilar binários separados para cada alvo.
A comunicação entre dispositivos infectados e servidores de comando e controle (C2) ocorre via HTTP e HTTPS, utilizando tráfego codificado em Protobuf e ofuscado com um esquema XOR simples, enquanto a variante baseada em Go adiciona compressão gzip. Grandes tarefas de varredura são divididas em segmentos menores e distribuídas pela botnet, permitindo operações de reconhecimento paralelas.
Persistência e Potencial de Abuso
O malware mantém acesso a longo prazo implantando um servidor Dropbear SSH na porta 2332 para roteadores e o gs-netcat em sistemas NAS comprometidos. Os investigadores também identificaram uma chave de autenticação embutida no código, 'sh_#@!_2024_secret', cuja inclusão de '2024' pode indicar que o desenvolvimento da operação começou naquele ano, embora isso não possa ser confirmado com certeza.
Embora o reconhecimento pareça ser o objetivo principal, os recursos de varredura de DNS do malware também podem ser redirecionados para servidores DNS para gerar tráfego de negação de serviço quando necessário.
Um padrão familiar: Redes de caixas de retransmissão operacionais
A infraestrutura criada pelo AryStinger se assemelha bastante às redes Operational Relay Box (ORB). Essas redes consistem em roteadores obsoletos e dispositivos IoT comprometidos que permitem que agentes maliciosos realizem operações de varredura e retransmitam tráfego malicioso, permanecendo difíceis de rastrear.
Essa abordagem ecoa incidentes anteriores. Em maio de 2025, o FBI e o Departamento de Justiça dos EUA desmantelaram os serviços 5socks e Anyproxy, que monetizavam o acesso a proxies residenciais explorando roteadores Linksys e Cisco obsoletos infectados com o malware TheMoon. Mais recentemente, operações de ORB como a LapDogs também se basearam em vulnerabilidades não corrigidas em dispositivos antigos.
Até o momento, o AryStinger não foi atribuído conclusivamente a nenhum agente de ameaça específico. No entanto, o modelo operacional é inconfundível: hardware obsoleto e vulnerabilidades esquecidas estão sendo convertidos em infraestrutura furtiva que dá suporte aos estágios iniciais de intrusões cibernéticas sofisticadas.
Estratégias de Detecção e Mitigação
Organizações e indivíduos que operam equipamentos potencialmente afetados devem investigar imediatamente os indicadores de comprometimento e implementar medidas corretivas de longo prazo.
- Monitore as conexões de saída para os servidores de comando e controle do AryStinger e os domínios de download.
- Inspecione o diretório /tmp/bin em busca de arquivos binários desconhecidos.
- Procure por processos suspeitos com os nomes syswapd0h ou syswapd0w.
A defesa mais eficaz continua sendo simples: descarte equipamentos de rede obsoletos que não recebem mais atualizações de firmware e desabilite a administração remota em dispositivos expostos à internet sempre que possível. É improvável que hardware que deixou de receber patches de segurança há anos receba proteção contra ameaças modernas.