AryStinger惡意軟體
一種名為 AryStinger 的新型惡意軟體家族正在將廢棄的家用路由器轉變為大規模偵察和代理網絡,而不是通常與受感染網絡設備相關的分散式拒絕服務 (DDoS) 殭屍網絡。安全研究人員已發現至少 4300 台受感染的路由器,預計這一數字將持續成長。
與專注於破壞服務的傳統惡意軟體攻擊不同,AryStinger 旨在支援網路入侵的早期階段。受感染的設備會掃描互聯網,識別正在運行的服務,枚舉子域名,建立網絡流量隧道,並在將收集到的情報傳回操作者之前遠端執行命令。每個受感染的路由器都有效地充當偵察節點和匿名中繼,從而隱藏攻擊者的真實來源。
目錄
針對老舊硬體和長期被遺忘的漏洞
該攻擊活動主要針對採用 Realtek RTL819X 晶片組的路由器,該硬體在 2012 年至 2015 年間被廣泛使用。研究人員於 2026 年 3 月 12 日首次發現該惡意軟體,當時感染源自單一 IP 位址。
部署的惡意軟體是一個 Linux ELF 二進位文件,最初繞過了 VirusTotal 上所有引擎的檢測。它利用兩個較早的漏洞實現了感染:
- CVE-2013-3307 影響某些 Linksys 路由器。
- CVE-2016-5681 影響特定 D-Link 設備。
大部分受感染的系統都是D-Link產品,其中DIR-850L型號約佔75%。從地理來看,感染主要集中在韓國(48%)和中國(32%),其次是瑞典、馬來西亞和新加坡。
超越路由器的擴展
2026年4月26日,第二個惡意軟體變種出現,它利用CVE-2025-11837漏洞攻擊QNAP NAS設備。該漏洞為程式碼注入漏洞,影響QNAP的惡意軟體清除工具。儘管該漏洞已於2025年11月修復,但攻擊者在幾個月後仍開始利用它。
諷刺的是,感染源竟然是NAS設備本身的惡意軟體清除應用程式。據報道,4,300台受感染的系統僅包括受感染的RTL819X路由器,並未包括受影響的NAS設備。
功能強大的輕量級惡意軟體
路由器版本的 AryStinger 使用 C 語言編寫,並有意保持輕量級,以應對老舊硬體資源的限制。其主要功能是批次 DNS 掃描和流量隧道傳輸。
NAS 版本採用 Go 語言開發,功能更加強大。它能夠掃描內部和外部網絡,並部署諸如 fscan、ksubdomain 和 httpx 等偵察工具。一項名為 ScriptWork 的功能可讓操作人員直接在受感染的系統上執行攻擊者提供的 Go、Java 或 Python 原始程式碼,因此無需為每個目標編譯單獨的二進位檔案。
受感染設備與命令與控制 (C2) 伺服器之間的通訊透過 HTTP 和 HTTPS 協定進行,使用 Protobuf 編碼的流量,並輔以簡單的 XOR 演算法進行混淆;而基於 Go 語言的變種則增加了 gzip 壓縮。大型掃描任務被分割成更小的片段,並分佈在整個殭屍網路中,從而實現並行偵察操作。
持續性和潛在濫用風險
該惡意軟體透過在路由器的 2332 連接埠部署 Dropbear SSH 伺服器,並在受感染的 NAS 系統上部署 gs-netcat,來維持長期存取權限。調查人員還發現了一個硬編碼的身份驗證密鑰“sh_#@!_2024_secret”,其中包含“2024”可能表明該攻擊行動的開發始於2024年,但這一點尚無法確定。
雖然偵察似乎是主要目標,但該惡意軟體的 DNS 掃描功能也可以在需要時重定向到 DNS 解析器,以產生拒絕服務流量。
一種熟悉的模式:運行中繼箱網絡
AryStinger所建構的基礎設施與營運中繼盒(ORB)網路極為相似。這些網路由被入侵的報廢路由器和物聯網設備組成,使攻擊者能夠進行掃描操作並轉送惡意流量,同時難以追蹤。
這種做法與先前的事件如出一轍。 2025年5月,美國聯邦調查局和司法部搗毀了5socks和Anyproxy服務,這些服務利用感染了TheMoon惡意軟體的過時Linksys和Cisco路由器,將住宅代理存取變現。最近,像LapDogs這樣的線上代理(ORB)行動也同樣依賴老舊設備中未修補的漏洞。
目前,AryStinger 尚未被最終確定歸因於任何特定的威脅行為者。然而,其運作模式顯而易見:將過時的硬體和被遺忘的漏洞轉化為隱藏的基礎設施,為複雜的網路入侵的初始階段提供支援。
偵測和緩解策略
操作可能受影響設備的組織和個人應立即調查是否有受損跡象,並實施長期補救措施。
最有效的防禦措施仍然簡單明了:淘汰已停止接收韌體更新的報廢網路設備,並儘可能停用暴露於網路設備的遠端管理功能。多年前就停止接收安全修補程式的硬體不太可能抵禦現代威脅。