Hotdatabas Skadlig programvara AryStinger-skadlig kod

AryStinger-skadlig kod

En nyupptäckt familj av skadliga program, kallad AryStinger, omvandlar övergivna hemroutrar till storskaliga rekognoserings- och proxynätverk snarare än de traditionella distribuerade denial-of-service (DDoS) botnät som vanligtvis förknippas med komprometterade nätverksenheter. Säkerhetsforskare har redan identifierat minst 4 300 infekterade routrar, och antalet förväntas fortsätta att öka.

Till skillnad från konventionella skadliga programkampanjer som fokuserar på att störa tjänster är AryStinger utformad för att stödja de tidiga stadierna av cyberintrång. Kompromitterade enheter används för att skanna internet, identifiera tjänster som körs, räkna upp underdomäner, tunnla nätverkstrafik och utföra kommandon på distans innan den insamlade informationen skickas tillbaka till operatörerna. Varje infekterad router fungerar effektivt som både en rekognoseringsnod och ett anonymiseringsrelä som döljer angriparens verkliga ursprung.

Inriktning på åldrande hårdvara och sedan länge bortglömda sårbarheter

Kampanjen riktar sig främst mot routrar som drivs av Realtek RTL819X-chipset, hårdvara som användes flitigt mellan 2012 och 2015. Forskare observerade först skadlig programvara den 12 mars 2026, då infektioner kom från en enda IP-adress.

Den installerade skadliga programvaran var en Linux ELF-binärfil som initialt undvek upptäckt av alla sökmotorer på VirusTotal. Den infekterades genom att utnyttja två äldre sårbarheter:

  • CVE-2013-3307 som påverkar vissa Linksys-routrar.
  • CVE-2016-5681 påverkar specifika D-Link-enheter.

De flesta av de komprometterade systemen är D-Link-produkter, där modellen DIR-850L står för cirka 75 procent av infektionerna. Geografiskt sett är infektionerna koncentrerade till Sydkorea (48 procent) och Kina (32 procent), följt av Sverige, Malaysia och Singapore.

Expansion bortom routrar

En andra variant av skadlig kod dök upp den 26 april 2026 och riktade sig mot QNAP:s NAS-enheter genom CVE-2025-11837, en sårbarhet för kodinjektion som påverkar QNAP:s verktyg för borttagning av skadlig kod. Även om sårbarheten redan hade åtgärdats i november 2025 började angripare utnyttja den flera månader senare.

Ironiskt nog är infektionsvektorn NAS-enhetens eget program för borttagning av skadlig kod. Den rapporterade siffran på 4 300 komprometterade system inkluderar endast de infekterade RTL819X-routrarna och tar inte hänsyn till berörda NAS-enheter.

Lätt skadlig kod med kraftfulla funktioner

Routerversionen av AryStinger är skriven i C och är avsiktligt lättviktig på grund av de begränsade resurserna hos äldre hårdvara. Dess primära funktioner är mass-DNS-skanning och trafiktunnling.

NAS-versionen, utvecklad i Go, erbjuder betydligt bredare möjligheter. Den kan skanna både interna och externa nätverk och distribuera rekognoseringsverktyg som fscan, ksubdomain och httpx. En funktion som kallas ScriptWork gör det möjligt för operatörer att köra angriparens Go-, Java- eller Python-källkod direkt på det infekterade systemet, vilket eliminerar behovet av att kompilera separata binärfiler för varje mål.

Kommunikation mellan infekterade enheter och kommando- och kontrollservrar (C2) sker via HTTP och HTTPS med hjälp av Protobuf-kodad trafik som är förvrängd med ett enkelt XOR-schema, medan den Go-baserade varianten lägger till gzip-komprimering. Stora skanningsuppgifter delas upp i mindre segment och distribueras över botnätet, vilket möjliggör parallella rekognoseringsoperationer.

Persistens och potential för missbruk

Skadlig programvara upprätthåller långsiktig åtkomst genom att distribuera en Dropbear SSH-server på port 2332 för routrar och gs-netcat på komprometterade NAS-system. Utredarna identifierade också en hårdkodad autentiseringsnyckel, 'sh_#@!_2024_secret', vars inkludering av '2024' kan indikera att utvecklingen av operationen började det året, även om detta inte kan bekräftas med säkerhet.

Även om rekognoscering verkar vara det primära målet, kan den skadliga programvarans DNS-skanningsfunktioner också omdirigeras mot DNS-resolvers för att generera denial-of-service-trafik vid behov.

Ett välbekant mönster: Operativa reläboxnätverk

Infrastrukturen som skapats av AryStinger liknar mycket ORB-nätverk (Operational Relay Box). Dessa nätverk består av komprometterade uttjänta routrar och IoT-enheter som gör det möjligt för hotande aktörer att utföra skanningsoperationer och vidarebefordra skadlig trafik samtidigt som de är svåra att spåra.

Tillvägagångssättet påminner om tidigare incidenter. I maj 2025 avvecklade FBI och det amerikanska justitiedepartementet tjänsterna 5socks och Anyproxy, som hade tjänat pengar på proxyåtkomst för bostäder genom att utnyttja föråldrade Linksys- och Cisco-routrar infekterade med skadlig programvara TheMoon. På senare tid har ORB-verksamheter som LapDogs på liknande sätt förlitat sig på opatchade sårbarheter i åldrande enheter.

För närvarande har AryStinger inte slutgiltigt tillskrivits någon specifik hotbild. Den operativa modellen är dock omisskännlig: föråldrad hårdvara och bortglömda sårbarheter omvandlas till smygande infrastruktur som stöder de inledande stadierna av sofistikerade cyberintrång.

Strategier för upptäckt och begränsning

Organisationer och individer som använder potentiellt påverkad utrustning bör omedelbart undersöka tecken på att utrustningen är skadad och implementera långsiktiga åtgärder.

  • Övervaka utgående anslutningar till AryStinger kommando- och kontrollservrar och nedladdningsdomäner.
  • Kontrollera katalogen /tmp/bin för okända binärfiler.
  • Sök efter misstänkta processer med namnet syswapd0h eller syswapd0w.

Det mest effektiva försvaret är fortfarande enkelt: utrangera uttjänt nätverksutrustning som inte längre får firmwareuppdateringar och inaktivera fjärradministration på internetexponerade enheter när det är möjligt. Maskinvara som slutade få säkerhetsuppdateringar för flera år sedan kommer sannolikt inte att få skydd mot moderna hot.

Mest sedda

Läser in...