Phần mềm độc hại AryStinger

Một họ phần mềm độc hại mới được phát hiện, có tên AryStinger, đang biến các bộ định tuyến gia đình bị bỏ hoang thành một mạng lưới trinh sát và proxy quy mô lớn thay vì các mạng botnet tấn công từ chối dịch vụ phân tán (DDoS) truyền thống thường liên quan đến các thiết bị mạng bị xâm nhập. Các nhà nghiên cứu bảo mật đã xác định được ít nhất 4.300 bộ định tuyến bị nhiễm và con số này dự kiến sẽ tiếp tục tăng lên.

Không giống như các chiến dịch phần mềm độc hại thông thường tập trung vào việc làm gián đoạn dịch vụ, AryStinger được thiết kế để hỗ trợ giai đoạn đầu của các cuộc xâm nhập mạng. Các thiết bị bị xâm nhập được sử dụng để quét internet, xác định các dịch vụ đang chạy, liệt kê các tên miền phụ, tạo đường hầm cho lưu lượng mạng và thực thi các lệnh từ xa trước khi truyền thông tin thu thập được trở lại cho kẻ điều hành. Mỗi bộ định tuyến bị nhiễm đều đóng vai trò như một nút trinh sát và một trạm chuyển tiếp ẩn danh, che giấu nguồn gốc thực sự của kẻ tấn công.

Nhắm mục tiêu vào phần cứng cũ kỹ và các lỗ hổng bảo mật đã bị lãng quên từ lâu.

Chiến dịch này chủ yếu nhắm vào các bộ định tuyến sử dụng chipset Realtek RTL819X, phần cứng được sử dụng rộng rãi từ năm 2012 đến năm 2015. Các nhà nghiên cứu lần đầu tiên phát hiện phần mềm độc hại này vào ngày 12 tháng 3 năm 2026, khi các ca lây nhiễm bắt nguồn từ một địa chỉ IP duy nhất.

Phần mềm độc hại được triển khai là một tệp nhị phân ELF dành cho Linux, ban đầu đã tránh được sự phát hiện của mọi công cụ trên VirusTotal. Nó đã lây nhiễm bằng cách khai thác hai lỗ hổng bảo mật cũ:

  • Lỗ hổng bảo mật CVE-2013-3307 ảnh hưởng đến một số bộ định tuyến Linksys nhất định.
  • Lỗ hổng bảo mật CVE-2016-5681 ảnh hưởng đến một số thiết bị D-Link cụ thể.

Hầu hết các hệ thống bị xâm nhập là sản phẩm của D-Link, trong đó model DIR-850L chiếm khoảng 75% số vụ lây nhiễm. Về mặt địa lý, các vụ lây nhiễm tập trung ở Hàn Quốc (48%) và Trung Quốc (32%), tiếp theo là Thụy Điển, Malaysia và Singapore.

Mở rộng phạm vi hoạt động vượt ra ngoài bộ định tuyến

Một biến thể phần mềm độc hại thứ hai xuất hiện vào ngày 26 tháng 4 năm 2026, nhắm mục tiêu vào các thiết bị NAS của QNAP thông qua lỗ hổng CVE-2025-11837, một lỗ hổng chèn mã ảnh hưởng đến tiện ích Malware Remover của QNAP. Mặc dù lỗ hổng này đã được vá vào tháng 11 năm 2025, nhưng tin tặc bắt đầu khai thác nó vài tháng sau đó.

Trớ trêu thay, tác nhân lây nhiễm lại chính là ứng dụng diệt phần mềm độc hại của thiết bị NAS. Con số 4.300 hệ thống bị ảnh hưởng được báo cáo chỉ bao gồm các bộ định tuyến RTL819X bị nhiễm và không tính đến các thiết bị NAS bị ảnh hưởng.

Phần mềm độc hại nhẹ với khả năng mạnh mẽ

Phiên bản router của AryStinger được viết bằng ngôn ngữ C và được cố ý giữ ở mức dung lượng nhẹ do tài nguyên hạn chế của phần cứng cũ. Chức năng chính của nó là quét DNS hàng loạt và tạo đường hầm cho lưu lượng truy cập.

Phiên bản NAS, được phát triển bằng ngôn ngữ Go, cung cấp khả năng rộng hơn đáng kể. Nó có thể quét cả mạng nội bộ và mạng bên ngoài, đồng thời triển khai các tiện ích trinh sát như fscan, ksubdomain và httpx. Một tính năng gọi là ScriptWork cho phép người điều hành thực thi mã nguồn Go, Java hoặc Python do kẻ tấn công cung cấp trực tiếp trên hệ thống bị nhiễm, loại bỏ nhu cầu biên dịch các tệp nhị phân riêng biệt cho từng mục tiêu.

Việc liên lạc giữa các thiết bị bị nhiễm và máy chủ điều khiển (C2) diễn ra qua HTTP và HTTPS sử dụng lưu lượng truy cập được mã hóa Protobuf và làm mờ bằng một sơ đồ XOR đơn giản, trong khi biến thể dựa trên Go bổ sung thêm tính năng nén gzip. Các tác vụ quét lớn được chia thành các phân đoạn nhỏ hơn và phân phối trên toàn mạng botnet, cho phép thực hiện các hoạt động trinh sát song song.

Tính dai dẳng và tiềm năng lạm dụng

Phần mềm độc hại duy trì quyền truy cập lâu dài bằng cách triển khai máy chủ SSH Dropbear trên cổng 2332 cho các bộ định tuyến và gs-netcat trên các hệ thống NAS bị xâm nhập. Các nhà điều tra cũng đã xác định được một khóa xác thực được mã hóa cứng, 'sh_#@!_2024_secret', trong đó việc bao gồm '2024' có thể cho thấy quá trình phát triển của hoạt động này bắt đầu vào năm đó, mặc dù điều này không thể được xác nhận chắc chắn.

Mặc dù việc thu thập thông tin có vẻ là mục tiêu chính, nhưng khả năng quét DNS của phần mềm độc hại cũng có thể được chuyển hướng đến các máy chủ phân giải DNS để tạo ra lưu lượng tấn công từ chối dịch vụ khi cần thiết.

Một mô hình quen thuộc: Mạng lưới hộp chuyển tiếp vận hành

Cơ sở hạ tầng do AryStinger tạo ra rất giống với mạng Operational Relay Box (ORB). Các mạng này bao gồm các bộ định tuyến và thiết bị IoT đã lỗi thời bị xâm nhập, cho phép các tác nhân đe dọa thực hiện các hoạt động quét và chuyển tiếp lưu lượng truy cập độc hại mà vẫn khó bị truy vết.

Cách tiếp cận này lặp lại những sự việc trước đây. Vào tháng 5 năm 2025, FBI và Bộ Tư pháp Hoa Kỳ đã triệt phá các dịch vụ 5socks và Anyproxy, vốn kiếm tiền từ việc truy cập proxy dân dụng bằng cách khai thác các bộ định tuyến Linksys và Cisco lỗi thời bị nhiễm phần mềm độc hại TheMoon. Gần đây hơn, các hoạt động ORB như LapDogs cũng dựa vào các lỗ hổng chưa được vá trong các thiết bị cũ.

Hiện tại, AryStinger chưa được xác định chắc chắn là do bất kỳ tác nhân đe dọa cụ thể nào gây ra. Tuy nhiên, mô hình hoạt động của nó rất rõ ràng: phần cứng lỗi thời và các lỗ hổng bị lãng quên đang được chuyển đổi thành cơ sở hạ tầng bí mật hỗ trợ các giai đoạn ban đầu của các cuộc xâm nhập mạng tinh vi.

Chiến lược phát hiện và giảm thiểu

Các tổ chức và cá nhân vận hành thiết bị có khả năng bị ảnh hưởng cần ngay lập tức điều tra các dấu hiệu xâm phạm và thực hiện các biện pháp khắc phục lâu dài.

  • Theo dõi các kết nối đi ra đến máy chủ điều khiển và quản lý AryStinger cũng như các miền tải xuống.
  • Kiểm tra thư mục /tmp/bin để tìm các tệp nhị phân lạ.
  • Tìm kiếm các tiến trình đáng ngờ có tên syswapd0h hoặc syswapd0w.

Biện pháp phòng vệ hiệu quả nhất vẫn rất đơn giản: loại bỏ các thiết bị mạng đã lỗi thời, không còn nhận được bản cập nhật firmware và vô hiệu hóa quản trị từ xa trên các thiết bị kết nối internet bất cứ khi nào có thể. Phần cứng đã ngừng nhận bản vá bảo mật từ nhiều năm trước khó có thể được bảo vệ trước các mối đe dọa hiện đại.

Đang tải...