Ботнет «AryStinger» заразил тысячи маршрутизаторов D-Link по всему миру

Бот-сеть вредоносного ПО под названием AryStinger заразила более 4 000 устаревших маршрутизаторов, превратив их в прокси-серверы для передачи вредоносного трафика.

Исследователи из команды XLab по анализу угроз компании Qianxin сообщают, что вредоносное ПО превращает зараженные устройства в удаленно управляемые «исполнители», способные выполнять Сканирование, проксирование, туннелирование, выполнение команд и другие действия от имени злоумышленника.

Исследователи XLab отмечают, что злоумышленник может разбить масштабную задачу сканирования на несколько небольших частей и распределить их между различными «исполнителями» для параллельного выполнения.

Благодаря такой распределенной архитектуре злоумышленник может эффективно завершить начальные этапы «разведки», тем самым обеспечив высокую степень уверенности в бесперебойности и успешности последующих операций по проникновению.

Помимо использования взломанных маршрутизаторов в качестве плацдарма для вредоносных операций, XLab предупреждает, что вредоносное ПО также может изменять настройки DNS, перехватывая сеансы просмотра пользователей, а также незаметно отслеживать и потенциально перехватывать весь входящий и исходящий сетевой трафик.

Stinger использует старые уязвимости, такие как CVE-2013-3307, CVE-2016-5681 и CVE-2025-11837, нацеливаясь в первую очередь на маршрутизаторы d-link DIR-850L и D-Link DIR-818LW.

Эти две модели маршрутизаторов ранее становились мишенью ботнета AVrecon, деятельность которого был пресечена провайдером связи Lumen в 2023 году.

Данные телеметрии Qianxin показывают, что почти половина всех заражений приходится на Южную Корею (48,5%), за которой следуют Китай (31,8%), Швеция (6,4%), Малайзия (3,5%) и Сингапур (2,5%).

Исследователи XLab обнаружили два варианта вредоносного ПО AryStinger: версию на языке C, нацеленную в основном на устаревшие маршрутизаторы, и версию на языке go, ориентированную на системы NAS, но в настоящее время имеющую гораздо более ограниченный охват.

Версия для NAS является наиболее продвинутой из двух и обладает дополнительными возможностями, такими как сканирование IP-адресов и DNS, выполнение команд, запуск полезной нагрузки и разведка внутренней сети за счёт интеграции инструментов тестирования на проникновение с открытым исходным кодом.

Исследователи отметили, что распределенная инфраструктура AryStinger для сканирования DNS потенциально может быть перепрофилирована для генерации больших объемов DNS-запросов к резолверам, хотя самих таких атак они не наблюдали.

Что касается возможностей выполнения кода в версии для NAS, XLab сообщает о поддержке команд оболочки (Shell), а также исходного кода на языках Go, Java и Python.

Однако использование исходного кода вместо скомпилированных бинарных файлов сопряжено с некоторыми ограничениями, поскольку для компиляции на хосте требуются среды выполнения языков программирования, а весь процесс в целом создает «шум», который может нарушить скрытность.

Исследователи не связали AryStinger с каким-либо известным кластером активности, отметив, что многие загадки, окружающие AryStinger, остаются неразгаданными.

Владельцам маршрутизаторов, срок поддержки которых истек (EoL), следует заменить их на новые модели, активно поддерживаемые производителем, установить последние доступные обновления прошивки, изменить пароль учетной записи администратора по умолчанию и отключить панели удаленного управления.

Проверяйте каждый уровень до того, как это сделают злоумышленники

Службы безопасности регистрируют 54% успешных атак и оповещают лишь о 14%. Остальные проникают в вашу среду незаметно.

В техническом документе Picus показано, как моделирование взломов и атак позволяет проверить ваши правила SIEM и EDR, чтобы угрозы перестали ускользать от обнаружения.