Škodlivý softvér AryStinger
Novo objavená rodina malvéru s názvom AryStinger transformuje opustené domáce routery na rozsiahle prieskumné a proxy siete namiesto tradičných distribuovaných botnetov typu denial-of-service (DDoS), ktoré sa bežne spájajú s napadnutými sieťovými zariadeniami. Bezpečnostní výskumníci už identifikovali najmenej 4 300 infikovaných routerov a očakáva sa, že ich počet bude naďalej rásť.
Na rozdiel od konvenčných malware kampaní, ktoré sa zameriavajú na narušenie služieb, je AryStinger navrhnutý tak, aby podporoval rané štádiá kybernetických prienikov. Napadnuté zariadenia sa používajú na skenovanie internetu, identifikáciu spustených služieb, vymenovanie subdomén, tunelovanie sieťovej prevádzky a vykonávanie príkazov na diaľku predtým, ako sa zhromaždené informácie odošlú späť operátorom. Každý infikovaný router efektívne slúži ako prieskumný uzol aj anonymizačné relé, ktoré zakrýva skutočný pôvod útočníka.
Obsah
Zameranie sa na starnúci hardvér a dávno zabudnuté zraniteľnosti
Kampaň sa primárne zameriava na routery poháňané čipsetmi Realtek RTL819X, hardvérom, ktorý sa hojne používal v rokoch 2012 až 2015. Výskumníci prvýkrát pozorovali malvér 12. marca 2026, keď infekcie pochádzali z jednej IP adresy.
Nasadený malvér bol binárny súbor ELF pre Linux, ktorý sa spočiatku vyhýbal detekcii žiadnym vyhľadávačom na platforme VirusTotal. K nákaze došlo zneužitím dvoch starších zraniteľností:
- CVE-2013-3307 ovplyvňujúci niektoré routery Linksys.
- CVE-2016-5681 ovplyvňujúci konkrétne zariadenia D-Link.
Väčšina napadnutých systémov sú produkty D-Link, pričom model DIR-850L predstavuje približne 75 percent infekcií. Geograficky sú infekcie sústredené v Južnej Kórei (48 percent) a Číne (32 percent), nasledované Švédskom, Malajziou a Singapurom.
Rozšírenie za hranice smerovačov
Druhý variant malvéru sa objavil 26. apríla 2026 a zacielil na zariadenia QNAP NAS prostredníctvom zraniteľnosti CVE-2025-11837, ktorá ovplyvňuje nástroj Malware Remover od spoločnosti QNAP a umožňuje vkladanie kódu. Hoci táto zraniteľnosť bola opravená už v novembri 2025, útočníci ju začali zneužívať o niekoľko mesiacov neskôr.
Je iróniou, že vektorom infekcie je vlastná aplikácia zariadenia NAS na odstraňovanie škodlivého softvéru. Uvedený počet 4 300 napadnutých systémov zahŕňa iba infikované routery RTL819X a nezohľadňuje postihnuté zariadenia NAS.
Ľahký malvér s výkonnými funkciami
Verzia AryStinger pre router je napísaná v jazyku C a zámerne zostáva nenáročná kvôli obmedzeným zdrojom staršieho hardvéru. Jeho primárnymi funkciami sú hromadné skenovanie DNS a tunelovanie prevádzky.
Verzia pre NAS, vyvinutá v jazyku Go, poskytuje výrazne širšie možnosti. Dokáže skenovať interné aj externé siete a nasadiť prieskumné nástroje, ako sú fscan, ksubdomain a httpx. Funkcia známa ako ScriptWork umožňuje operátorom spúšťať zdrojový kód Go, Java alebo Python dodaný útočníkom priamo na infikovanom systéme, čím sa eliminuje potreba kompilovať samostatné binárne súbory pre každý cieľ.
Komunikácia medzi infikovanými zariadeniami a servermi velenia a riadenia (C2) prebieha cez HTTP a HTTPS s použitím prevádzky kódovanej pomocou Protobufu, ktorá je zahalená jednoduchou schémou XOR, zatiaľ čo variant založený na Go pridáva kompresiu gzip. Veľké skenovacie úlohy sú rozdelené na menšie segmenty a distribuované v rámci botnetu, čo umožňuje paralelné prieskumné operácie.
Pretrvávanie a potenciál zneužitia
Malvér si udržiava dlhodobý prístup nasadením SSH servera Dropbear na porte 2332 pre smerovače a gs-netcat na napadnutých NAS systémoch. Vyšetrovatelia tiež identifikovali pevne zakódovaný autentifikačný kľúč „sh_#@!_2024_secret“, ktorého zahrnutie čísla „2024“ môže naznačovať, že vývoj operácie sa začal v danom roku, hoci to nemožno s istotou potvrdiť.
Hoci sa zdá, že primárnym cieľom je prieskum, schopnosti skenovania DNS malvéru je možné presmerovať aj na DNS resolvery, aby sa v prípade potreby generovala prevádzka typu „donier služby“.
Známy vzorec: Siete prevádzkových reléových skríň
Infraštruktúra vytvorená spoločnosťou AryStinger sa veľmi podobá sieťam Operational Relay Box (ORB). Tieto siete pozostávajú z kompromitovaných routerov na konci životnosti a zariadení internetu vecí, ktoré umožňujú aktérom hrozby vykonávať skenovacie operácie a prenášať škodlivú prevádzku, pričom je ťažké ich sledovať.
Tento prístup pripomína predchádzajúce incidenty. V máji 2025 FBI a americké ministerstvo spravodlivosti zrušili služby 5socks a Anyproxy, ktoré monetizovali prístup k rezidenčným proxy serverom zneužívaním zastaraných routerov Linksys a Cisco infikovaných malvérom TheMoon. V poslednej dobe sa operácie ORB, ako napríklad LapDogs, podobne spoliehajú na neopravené zraniteľnosti v starnúcich zariadeniach.
V súčasnosti nebol AryStinger definitívne pripísaný žiadnemu konkrétnemu aktérovi hrozby. Operačný model je však nezameniteľný: zastaraný hardvér a zabudnuté zraniteľnosti sa premieňajú na nenápadnú infraštruktúru, ktorá podporuje počiatočné fázy sofistikovaných kybernetických útokov.
Stratégie detekcie a zmierňovania
Organizácie a jednotlivci prevádzkujúci potenciálne postihnuté zariadenia by mali okamžite vyšetriť indikátory ohrozenia a zaviesť dlhodobé nápravné opatrenia.
- Monitorujte odchádzajúce pripojenia k serverom príkazového riadiaceho systému AryStinger a sťahujte domény.
- Skontrolujte adresár /tmp/bin, či neobsahuje neznáme binárne súbory.
- Vyhľadajte podozrivé procesy s názvom syswapd0h alebo syswapd0w.
Najúčinnejšia obrana zostáva jednoduchá: vyradiť sieťové zariadenia na konci životnosti, ktoré už nedostávajú aktualizácie firmvéru, a kedykoľvek je to možné, deaktivovať vzdialenú správu na zariadeniach vystavených internetu. Hardvér, ktorý prestal dostávať bezpečnostné záplaty pred rokmi, pravdepodobne nedostane ochranu pred modernými hrozbami.