AryStinger Malware
Një familje programesh keqdashëse e zbuluar rishtazi, e quajtur AryStinger, po transformon routerat e braktisur shtëpiakë në një rrjet zbulimi dhe proxy në shkallë të gjerë, në vend të botnet-eve tradicionale të shpërndara të mohimit të shërbimit (DDoS) që zakonisht shoqërohen me pajisjet e rrjetit të kompromentuara. Studiuesit e sigurisë kanë identifikuar tashmë të paktën 4,300 routerë të infektuar dhe numri pritet të vazhdojë të rritet.
Ndryshe nga fushatat konvencionale të malware-it që përqendrohen në ndërprerjen e shërbimeve, AryStinger është projektuar për të mbështetur fazat e hershme të ndërhyrjeve kibernetike. Pajisjet e kompromentuara përdoren për të skanuar internetin, për të identifikuar shërbimet në funksionim, për të numëruar nën-domenet, për të tuneluar trafikun e rrjetit dhe për të ekzekutuar komandat nga distanca përpara se të transmetojnë inteligjencën e mbledhur përsëri te operatorët. Çdo router i infektuar shërben në mënyrë efektive si një nyje zbulimi dhe një stafetë anonimizimi që fsheh origjinën e vërtetë të sulmuesit.
Tabela e Përmbajtjes
Synimi i Pajisjeve të Vjetra dhe Dobësive të Harruara prej Kohësh
Fushata synon kryesisht ruterët e mundësuar nga çipet Realtek RTL819X, pajisje që u përdorën gjerësisht midis viteve 2012 dhe 2015. Studiuesit e vunë re për herë të parë malware-in më 12 mars 2026, kur infeksionet buronin nga një adresë e vetme IP.
Malware-i i vendosur ishte një skedar binar Linux ELF që fillimisht i shpëtoi zbulimit nga çdo motor në VirusTotal. Ai arriti infeksionin duke shfrytëzuar dy dobësi më të vjetra:
- CVE-2013-3307 që ndikon në disa routera Linksys.
- CVE-2016-5681 që ndikon në pajisje specifike D-Link.
Shumica e sistemeve të kompromentuara janë produkte D-Link, me modelin DIR-850L që përbën afërsisht 75 përqind të infeksioneve. Gjeografikisht, infeksionet janë të përqendruara në Korenë e Jugut (48 përqind) dhe Kinë (32 përqind), të ndjekura nga Suedia, Malajzia dhe Singapori.
Zgjerimi përtej Router-ave
Një variant i dytë i malware-it u shfaq më 26 prill 2026, duke synuar pajisjet QNAP NAS përmes CVE-2025-11837, një dobësi e injektimit të kodit që ndikonte në programin Malware Remover të QNAP. Edhe pse dobësia ishte rregulluar tashmë në nëntor 2025, sulmuesit filluan ta shfrytëzonin atë disa muaj më vonë.
Ironikisht, vektori i infeksionit është aplikacioni i vetë pajisjes NAS për heqjen e malware-it. Shifra e raportuar prej 4,300 sistemesh të kompromentuara përfshin vetëm routerët RTL819X të infektuar dhe nuk merr parasysh pajisjet NAS të prekura.
Malware i lehtë me aftësi të fuqishme
Versioni i routerit të AryStinger është shkruar në C dhe qëllimisht mbetet i lehtë për shkak të burimeve të kufizuara të pajisjeve të vjetra. Funksionet e tij kryesore janë skanimi masiv i DNS dhe tunelimi i trafikut.
Versioni NAS, i zhvilluar në Go, ofron aftësi dukshëm më të gjera. Mund të skanojë rrjete të brendshme dhe të jashtme dhe të vendosë shërbime zbulimi si fscan, ksubdomain dhe httpx. Një veçori e njohur si ScriptWork u lejon operatorëve të ekzekutojnë kodin burimor Go, Java ose Python të furnizuar nga sulmuesit direkt në sistemin e infektuar, duke eliminuar nevojën për të përpiluar binarë të veçantë për secilin objektiv.
Komunikimi midis pajisjeve të infektuara dhe serverave të komandës dhe kontrollit (C2) ndodh nëpërmjet HTTP dhe HTTPS duke përdorur trafik të koduar nga Protobuf të errësuar me një skemë të thjeshtë XOR, ndërsa varianti i bazuar në Go shton kompresim gzip. Detyrat e mëdha të skanimit ndahen në segmente më të vogla dhe shpërndahen në të gjithë botnetin, duke mundësuar operacione paralele zbulimi.
Këmbëngulja dhe Potenciali për Abuzim
Malware ruan akses afatgjatë duke vendosur një server SSH Dropbear në portin 2332 për routerët dhe gs-netcat në sistemet NAS të kompromentuara. Hetuesit identifikuan gjithashtu një çelës vërtetimi të koduar, 'sh_#@!_2024_secret', përfshirja e të cilit si '2024' mund të tregojë se zhvillimi i operacionit filloi atë vit, megjithëse kjo nuk mund të konfirmohet me siguri.
Edhe pse zbulimi duket të jetë objektivi kryesor, aftësitë e skanimit DNS të malware-it mund të ridrejtohen gjithashtu drejt zgjidhësve DNS për të gjeneruar trafik mohimi të shërbimit kur është e nevojshme.
Një model i njohur: Rrjetet e kutive të stafetave operacionale
Infrastruktura e krijuar nga AryStinger i ngjan shumë rrjeteve Operational Relay Box (ORB). Këto rrjete përbëhen nga routerë të kompromentuar në fund të jetës dhe pajisje IoT që u mundësojnë aktorëve kërcënues të kryejnë operacione skanimi dhe të transmetojnë trafik keqdashës, ndërkohë që mbeten të vështira për t'u gjurmuar.
Kjo qasje i bën jehonë incidenteve të mëparshme. Në maj të vitit 2025, FBI dhe Departamenti i Drejtësisë i SHBA-së çmontuan shërbimet 5socks dhe Anyproxy, të cilat kishin përfituar nga qasja në serverat proxy të banesave duke shfrytëzuar routerat e vjetëruar Linksys dhe Cisco të infektuar me malware-in TheMoon. Kohët e fundit, operacionet ORB si LapDogs janë mbështetur në mënyrë të ngjashme në dobësitë e paarnuara në pajisjet e vjetra.
Aktualisht, AryStinger nuk i është atribuar në mënyrë përfundimtare ndonjë aktori specifik kërcënimi. Megjithatë, modeli operativ është i pagabueshëm: pajisjet e vjetëruara dhe dobësitë e harruara po shndërrohen në infrastrukturë të fshehtë që mbështet fazat fillestare të ndërhyrjeve të sofistikuara kibernetike.
Strategjitë e Zbulimit dhe Zbutjes
Organizatat dhe individët që operojnë pajisje potencialisht të prekura duhet të hetojnë menjëherë për tregues të kompromentimit dhe të zbatojnë masa afatgjata korrigjuese.
- Monitoroni lidhjet dalëse me serverat e komandës dhe kontrollit AryStinger dhe domenet e shkarkimit.
- Inspektoni direktorinë /tmp/bin për skedarë binare të panjohur.
- Kërko për procese të dyshimta me emrin syswapd0h ose syswapd0w.
Mbrojtja më efektive mbetet e thjeshtë: nxjerrja në pension e pajisjeve të rrjetit në fund të jetës që nuk marrin më përditësime të firmware-it dhe çaktivizimi i administrimit në distancë në pajisjet e ekspozuara ndaj internetit sa herë që është e mundur. Pajisjet që kanë ndaluar së marri përditësime sigurie vite më parë nuk kanë gjasa të marrin mbrojtje kundër kërcënimeve moderne.