Вредоносная программа AryStinger
Недавно обнаруженное семейство вредоносных программ под названием AryStinger превращает заброшенные домашние маршрутизаторы в крупномасштабную разведывательную и прокси-сеть, а не в традиционные ботнеты для распределенных атак типа «отказ в обслуживании» (DDoS), обычно ассоциируемые с скомпрометированными сетевыми устройствами. Исследователи в области безопасности уже выявили по меньшей мере 4300 зараженных маршрутизаторов, и ожидается, что это число будет продолжать расти.
В отличие от традиционных вредоносных программ, которые сосредоточены на нарушении работы сервисов, AryStinger разработан для поддержки ранних стадий кибератак. Взломанные устройства используются для сканирования интернета, идентификации запущенных сервисов, перечисления поддоменов, туннелирования сетевого трафика и удаленного выполнения команд, после чего собранная информация передается операторам. Каждый зараженный маршрутизатор фактически служит одновременно узлом разведки и анонимизирующим ретранслятором, скрывающим истинное происхождение злоумышленника.
Оглавление
Выявление устаревшего оборудования и давно забытых уязвимостей.
Основная цель кампании — маршрутизаторы на базе чипсетов Realtek RTL819X, широко использовавшихся в период с 2012 по 2015 год. Впервые вредоносное ПО было обнаружено исследователями 12 марта 2026 года, когда заражение произошло с одного IP-адреса.
Развернутое вредоносное ПО представляло собой исполняемый файл Linux ELF, который первоначально избежал обнаружения всеми поисковыми системами VirusTotal. Заражение произошло за счет использования двух более старых уязвимостей:
- Уязвимость CVE-2013-3307 затрагивает некоторые маршрутизаторы Linksys.
- Уязвимость CVE-2016-5681 затрагивает определенные устройства D-Link.
Большинство зараженных систем — это продукция D-Link, при этом на модель DIR-850L приходится примерно 75 процентов всех случаев заражения. Географически, инфекции сосредоточены в Южной Корее (48 процентов) и Китае (32 процента), за которыми следуют Швеция, Малайзия и Сингапур.
Расширение за пределы маршрутизаторов
26 апреля 2026 года появился второй вариант вредоносного ПО, нацеленный на устройства QNAP NAS через уязвимость CVE-2025-11837, представляющую собой внедрение кода в утилиту Malware Remover от QNAP. Хотя уязвимость была исправлена еще в ноябре 2025 года, злоумышленники начали использовать ее спустя несколько месяцев.
По иронии судьбы, вектором заражения является собственное приложение для удаления вредоносных программ на NAS-устройстве. Указанная цифра в 4300 скомпрометированных систем включает только зараженные маршрутизаторы RTL819X и не учитывает затронутые NAS-устройства.
Легковесное вредоносное ПО с мощными возможностями
Версия AryStinger для маршрутизаторов написана на языке C и намеренно остаётся легковесной из-за ограниченных ресурсов старого оборудования. Её основные функции — массовое сканирование DNS и туннелирование трафика.
Версия NAS, разработанная на Go, обладает значительно более широкими возможностями. Она может сканировать как внутренние, так и внешние сети, а также развертывать разведывательные утилиты, такие как fscan, ksubdomain и httpx. Функция, известная как ScriptWork, позволяет операторам выполнять предоставленный злоумышленником исходный код на Go, Java или Python непосредственно на зараженной системе, устраняя необходимость компиляции отдельных бинарных файлов для каждой цели.
Связь между зараженными устройствами и серверами управления и контроля (C2) осуществляется по протоколам HTTP и HTTPS с использованием трафика, закодированного в Protobuf и обфусцированного с помощью простой схемы XOR, в то время как вариант на основе Go добавляет сжатие gzip. Крупные задачи сканирования делятся на более мелкие сегменты и распределяются по ботнету, что позволяет проводить параллельные разведывательные операции.
Стойкость и потенциал злоупотребления
Вредоносная программа поддерживает долговременный доступ, развертывая SSH-сервер Dropbear на порту 2332 для маршрутизаторов и gs-netcat на скомпрометированных системах NAS. Следователи также обнаружили жестко закодированный ключ аутентификации, 'sh_#@!_2024_secret', включение в который слова '2024' может указывать на то, что разработка операции началась в этом году, хотя это нельзя подтвердить с уверенностью.
Хотя основной целью, по всей видимости, является разведка, возможности сканирования DNS вредоносной программы также могут быть перенаправлены на DNS-серверы для генерации трафика, приводящего к отказу в обслуживании, когда это необходимо.
Знакомая схема: сети оперативных ретрансляционных блоков.
Инфраструктура, созданная AryStinger, очень похожа на сети оперативных ретрансляционных устройств (ORB). Эти сети состоят из скомпрометированных устаревших маршрутизаторов и устройств IoT, которые позволяют злоумышленникам проводить сканирование и пересылать вредоносный трафик, оставаясь при этом трудноотслеживаемыми.
Этот подход перекликается с предыдущими инцидентами. В мае 2025 года ФБР и Министерство юстиции США ликвидировали сервисы 5socks и Anyproxy, которые монетизировали доступ к домашним прокси-серверам, используя уязвимости устаревших маршрутизаторов Linksys и Cisco, зараженных вредоносным ПО TheMoon. Совсем недавно аналогичные ORB-сервисы, такие как LapDogs, также использовали незащищенные уязвимости в устаревших устройствах.
В настоящее время AryStinger не был однозначно отнесен к какому-либо конкретному субъекту киберугроз. Однако операционная модель очевидна: устаревшее оборудование и забытые уязвимости преобразуются в скрытую инфраструктуру, поддерживающую начальные этапы сложных кибератак.
Стратегии обнаружения и предотвращения
Организациям и частным лицам, эксплуатирующим потенциально уязвимое оборудование, следует незамедлительно провести расследование на предмет признаков взлома и принять долгосрочные меры по устранению проблемы.
- Отслеживайте исходящие соединения с серверами управления и контроля AryStinger и загружайте домены.
- Проверьте каталог /tmp/bin на наличие незнакомых исполняемых файлов.
- Найдите подозрительные процессы с именами syswapd0h или syswapd0w.
Наиболее эффективная защита по-прежнему проста: вывести из эксплуатации устаревшее сетевое оборудование, которое больше не получает обновлений прошивки, и по возможности отключить удаленное администрирование на устройствах, подключенных к интернету. Оборудование, которое перестало получать обновления безопасности много лет назад, вряд ли будет защищено от современных угроз.