威胁数据库 恶意软件 AryStinger恶意软件

AryStinger恶意软件

一种名为 AryStinger 的新型恶意软件家族正在将废弃的家用路由器转变为大规模侦察和代理网络,而非通常与受感染网络设备相关的分布式拒绝服务 (DDoS) 僵尸网络。安全研究人员已发现至少 4300 台受感染的路由器,预计这一数字还将继续增长。

与专注于破坏服务的传统恶意软件攻击不同,AryStinger 旨在支持网络入侵的早期阶段。受感染的设备会扫描互联网,识别正在运行的服务,枚举子域名,建立网络流量隧道,并在将收集到的情报传输回操作者之前远程执行命令。每个受感染的路由器都有效地充当侦察节点和匿名中继,从而隐藏攻击者的真实来源。

针对老旧硬件和长期被遗忘的漏洞

该攻击活动主要针对采用 Realtek RTL819X 芯片组的路由器,该硬件在 2012 年至 2015 年间被广泛使用。研究人员于 2026 年 3 月 12 日首次发现该恶意软件,当时感染源自单个 IP 地址。

部署的恶意软件是一个 Linux ELF 二进制文件,最初绕过了 VirusTotal 上所有引擎的检测。它利用两个较早的漏洞实现了感染:

  • CVE-2013-3307 影响某些 Linksys 路由器。
  • CVE-2016-5681 影响特定 D-Link 设备。

大部分受感染的系统都是D-Link产品,其中DIR-850L型号约占75%。从地域上看,感染主要集中在韩国(48%)和中国(32%),其次是瑞典、马来西亚和新加坡。

超越路由器的扩展

2026年4月26日,第二个恶意软件变种出现,它利用CVE-2025-11837漏洞攻击QNAP NAS设备。该漏洞是一个代码注入漏洞,影响QNAP的恶意软件清除工具。尽管该漏洞已于2025年11月修复,但攻击者在几个月后仍开始利用它。

具有讽刺意味的是,感染源竟然是NAS设备自身的恶意软件清除应用程序。据报道,4300台受感染的系统仅包括受感染的RTL819X路由器,并未包括受影响的NAS设备。

功能强大的轻量级恶意软件

路由器版本的 AryStinger 使用 C 语言编写,并有意保持轻量级,以应对老旧硬件资源的限制。其主要功能是批量 DNS 扫描和流量隧道传输。

NAS 版本采用 Go 语言开发,功能更加强大。它能够扫描内部和外部网络,并部署诸如 fscan、ksubdomain 和 httpx 等侦察工具。一项名为 ScriptWork 的功能允许操作人员直接在受感染的系统上执行攻击者提供的 Go、Java 或 Python 源代码,从而无需为每个目标编译单独的二进制文件。

受感染设备与命令与控制 (C2) 服务器之间的通信通过 HTTP 和 HTTPS 协议进行,使用 Protobuf 编码的流量,并辅以简单的 XOR 算法进行混淆;而基于 Go 语言的变种则增加了 gzip 压缩。大型扫描任务被分割成更小的片段,并分布在整个僵尸网络中,从而实现并行侦察操作。

持续性和潜在滥用风险

该恶意软件通过在路由器的 2332 端口部署 Dropbear SSH 服务器,并在受感染的 NAS 系统上部署 gs-netcat,来维持长期访问权限。调查人员还发现了一个硬编码的身份验证密钥“sh_#@!_2024_secret”,其中包含“2024”可能表明该攻击行动的开发始于2024年,但这一点尚无法确定。

虽然侦察似乎是主要目标,但该恶意软件的 DNS 扫描功能也可以在需要时重定向到 DNS 解析器,以产生拒绝服务流量。

一种熟悉的模式:运行中继箱网络

AryStinger构建的基础设施与运营中继盒(ORB)网络极为相似。这些网络由被入侵的报废路由器和物联网设备组成,使攻击者能够进行扫描操作并转发恶意流量,同时难以追踪。

这种做法与之前的事件如出一辙。2025年5月,美国联邦调查局和司法部捣毁了5socks和Anyproxy服务,这些服务利用感染了TheMoon恶意软件的过时Linksys和Cisco路由器,将住宅代理访问变现。最近,像LapDogs这样的在线代理(ORB)行动也同样依赖于老旧设备中未修补的漏洞。

目前,AryStinger 尚未被最终确定归因于任何特定的威胁行为者。然而,其运作模式显而易见:将过时的硬件和被遗忘的漏洞转化为隐蔽的基础设施,为复杂的网络入侵的初始阶段提供支持。

检测和缓解策略

操作可能受影响设备的组织和个人应立即调查是否存在受损迹象,并实施长期补救措施。

  • 监控到 AryStinger 命令和控制服务器以及下载域的出站连接。
  • 检查 /tmp/bin 目录中是否存在不熟悉的二进制文件。
  • 搜索名为 syswapd0h 或 syswapd0w 的可疑进程。
  • 最有效的防御措施依然简单明了:淘汰已停止接收固件更新的报废网络设备,并尽可能禁用暴露于互联网设备的远程管理功能。多年前就停止接收安全补丁的硬件不太可能抵御现代威胁。

    最受关注

    正在加载...