Programe malware AryStinger

O familie de programe malware recent descoperită, numită AryStinger, transformă routerele casnice abandonate într-o rețea de recunoaștere și proxy la scară largă, în loc de botnetele tradiționale de tip denial-of-service (DDoS) asociate în mod obișnuit cu dispozitivele de rețea compromise. Cercetătorii în domeniul securității au identificat deja cel puțin 4.300 de routere infectate, iar numărul este de așteptat să continue să crească.

Spre deosebire de campaniile malware convenționale care se concentrează pe perturbarea serviciilor, AryStinger este conceput pentru a oferi asistență în stadiile incipiente ale intruziunilor cibernetice. Dispozitivele compromise sunt utilizate pentru a scana internetul, a identifica serviciile care rulează, a enumera subdomeniile, a tunela traficul de rețea și a executa comenzi de la distanță înainte de a transmite informațiile colectate înapoi operatorilor. Fiecare router infectat servește efectiv atât ca nod de recunoaștere, cât și ca releu de anonimizare care ascunde adevărata origine a atacatorului.

Vizarea hardware-ului îmbătrânit și a vulnerabilităților de mult uitate

Campania vizează în principal routerele alimentate de chipset-uri Realtek RTL819X, hardware utilizat pe scară largă între 2012 și 2015. Cercetătorii au observat pentru prima dată malware-ul pe 12 martie 2026, când infecțiile au provenit de la o singură adresă IP.

Malware-ul implementat era un fișier binar ELF Linux care inițial a evitat detectarea de către fiecare motor de pe VirusTotal. Acesta a reușit infectarea exploatând două vulnerabilități mai vechi:

  • CVE-2013-3307 afectează anumite routere Linksys.
  • CVE-2016-5681 afectează anumite dispozitive D-Link.

Majoritatea sistemelor compromise sunt produse D-Link, modelul DIR-850L reprezentând aproximativ 75% din infecții. Din punct de vedere geografic, infecțiile sunt concentrate în Coreea de Sud (48%) și China (32%), urmate de Suedia, Malaezia și Singapore.

Extindere dincolo de routere

O a doua variantă de malware a apărut pe 26 aprilie 2026, vizând dispozitivele NAS QNAP prin intermediul CVE-2025-11837, o vulnerabilitate de injecție de cod care afectează utilitarul Malware Remover al QNAP. Deși vulnerabilitatea fusese deja corectată în noiembrie 2025, atacatorii au început să o exploateze câteva luni mai târziu.

În mod ironic, vectorul de infecție este chiar aplicația de eliminare a programelor malware a dispozitivului NAS. Cifra raportată de 4.300 de sisteme compromise include doar routerele RTL819X infectate și nu ia în considerare dispozitivele NAS afectate.

Malware ușor cu capacități puternice

Versiunea de router a AryStinger este scrisă în C și rămâne intenționat ușoară din cauza resurselor limitate ale hardware-ului mai vechi. Funcțiile sale principale sunt scanarea DNS în masă și tunelarea traficului.

Versiunea NAS, dezvoltată în Go, oferă capabilități semnificativ mai largi. Poate scana atât rețele interne, cât și externe și poate implementa utilitare de recunoaștere precum fscan, ksubdomain și httpx. O funcție cunoscută sub numele de ScriptWork permite operatorilor să execute cod sursă Go, Java sau Python furnizat de atacator direct pe sistemul infectat, eliminând necesitatea compilării fișierelor binare separate pentru fiecare țintă.

Comunicarea dintre dispozitivele infectate și serverele de comandă și control (C2) are loc prin HTTP și HTTPS folosind trafic codificat Protobuf, mascat cu o schemă XOR simplă, în timp ce varianta bazată pe Go adaugă compresie gzip. Sarcinile mari de scanare sunt împărțite în segmente mai mici și distribuite în întreaga rețea de bot-uri, permițând operațiuni paralele de recunoaștere.

Persistență și potențial de abuz

Malware-ul menține accesul pe termen lung prin implementarea unui server SSH Dropbear pe portul 2332 pentru routere și gs-netcat pe sistemele NAS compromise. Anchetatorii au identificat, de asemenea, o cheie de autentificare hardcoded, „sh_#@!_2024_secret”, a cărei includere a codului „2024” ar putea indica faptul că dezvoltarea operațiunii a început în acel an, deși acest lucru nu poate fi confirmat cu certitudine.

Deși recunoașterea pare a fi obiectivul principal, capacitățile de scanare DNS ale malware-ului pot fi, de asemenea, redirecționate către rezolveri DNS pentru a genera trafic de tip denial-of-service atunci când este necesar.

Un model familiar: rețele operaționale de cutii de releu

Infrastructura creată de AryStinger seamănă foarte mult cu rețelele Operational Relay Box (ORB). Aceste rețele constau din routere și dispozitive IoT compromise, aflate la sfârșitul ciclului de viață, care permit actorilor de amenințare să efectueze operațiuni de scanare și să transmită traficul rău intenționat, rămânând în același timp dificil de urmărit.

Abordarea amintește de incidente anterioare. În mai 2025, FBI și Departamentul de Justiție al SUA au desființat serviciile 5socks și Anyproxy, care monetizaseră accesul proxy rezidențial prin exploatarea routerelor Linksys și Cisco învechite, infectate cu malware-ul TheMoon. Mai recent, operațiunile ORB, cum ar fi LapDogs, s-au bazat în mod similar pe vulnerabilități necorectate în dispozitivele îmbătrânite.

În prezent, AryStinger nu a fost atribuit în mod concludent niciunui actor de amenințare specific. Cu toate acestea, modelul operațional este inconfundabil: hardware-ul învechit și vulnerabilitățile uitate sunt transformate într-o infrastructură ascunsă care susține etapele inițiale ale intruziunilor cibernetice sofisticate.

Strategii de detectare și atenuare

Organizațiile și persoanele care operează echipamente potențial afectate ar trebui să investigheze imediat indicatorii de compromitere și să implementeze măsuri de remediere pe termen lung.

  • Monitorizează conexiunile de ieșire către serverele de comandă și control AryStinger și domeniile de descărcare.
  • Verificați directorul /tmp/bin pentru binare necunoscute.
  • Căutați procese suspecte numite syswapd0h sau syswapd0w.

Cea mai eficientă apărare rămâne simplă: scoateți din uz echipamentele de rețea care nu mai primesc actualizări de firmware și dezactivați administrarea de la distanță pe dispozitivele expuse la internet ori de câte ori este posibil. Hardware-ul care a încetat să mai primească patch-uri de securitate cu ani în urmă este puțin probabil să beneficieze de protecție împotriva amenințărilor moderne.

Se încarcă...