Egy újonnan azonosított, korábban nem dokumentált malware botnet, az AryStinger több mint 4 000 elavult routert kompromittált, amelyeket rosszindulatú hálózati forgalom továbbítására szolgáló proxyként használ fel.
A Qianxin XLab fenyegetésfelderítő csapatának kutatói szerint a kártevő a fertőzött eszközöket távolról vezérelhető „végrehajtó egységekké” alakítja, amelyek képesek hálózati szkennelési feladatok végrehajtására, proxy- és alagútforgalom (tunneling) kezelésére, parancsok futtatására, valamint egyéb támadói műveletek végrehajtására.
A támadók egy nagyméretű felderítési vagy szkennelési feladatot kisebb részekre bonthatnak, majd azokat több kompromittált eszköz között oszthatják szét párhuzamos végrehajtásra. Ez az elosztott működési modell jelentősen növeli a kezdeti felderítési műveletek hatékonyságát, ezáltal megalapozva a későbbi behatolási kísérletek sikerességét.
Az XLab figyelmeztetése szerint a kompromittált routerek nemcsak ugródeszkaként szolgálhatnak további rosszindulatú tevékenységekhez, hanem a botnetet kialakító malware képes a DNS-beállítások módosítására is. Ennek eredményeként a felhasználók böngészési forgalma eltéríthető, miközben a bejövő és kimenő hálózati kommunikáció észrevétlen megfigyelésére, illetve potenciális adatlopásra is lehetőség nyílik.
Az AryStinger több, régóta ismert sérülékenységet használ ki, köztük a CVE-2013-3307, CVE-2016-5681 és CVE-2025-11837 azonosítóval nyilvántartott hibákat. A támadások elsődleges célpontjai a D-Link DIR-850L és D-Link DIR-818LW routermodellek.
A Qianxin telemetriai adatai alapján a fertőzések közel fele Dél-Koreában található (48,5%), ezt Kína követi 31,8%-kal. A további érintett országok között szerepel Svédország (6,4%), Malajzia (3,5%) és Szingapúr (2,5%).
A kutatók az AryStinger két különböző változatát azonosították. Az egyik egy C nyelven írt verzió, amely elsősorban elavult routereket támad, míg a másik egy Go nyelven fejlesztett változat, amely főként NAS-rendszereket céloz, bár jelenlegi fertőzési köre lényegesen kisebb.
A NAS-eszközöket célzó változat technikailag fejlettebbnek tekinthető. További funkciói közé tartozik az IP- és DNS-címek szkennelése, a távoli parancsvégrehajtás, különböző payloadok futtatása, valamint a belső hálózat felderítése nyílt forráskódú pentest eszközök integrálásával. Ezen változat kódfuttatási képességei különösen figyelemre méltóak. Az XLab elemzése szerint a malware támogatja a shell-parancsok végrehajtását, valamint Go, Java és Python forráskódok futtatását is. Ugyanakkor a forráskód alapú végrehajtásnak vannak korlátai, mivel a fordításhoz a célrendszeren megfelelő futtatókörnyezetek szükségesek, és maga a fordítási folyamat olyan nyomokat hagyhat, amelyek csökkentik a támadók rejtettségét.
A kutatóknak egyelőre nem sikerült az AryStingert ismert kiberbűnözői csoporthoz vagy aktivitási klaszterhez kötniük. Az XLab szerint „az AryStingerrel kapcsolatban még számos megválaszolatlan kérdés maradt”.
Az életciklusuk végére ért (End-of-Life, EoL) routerek tulajdonosainak mielőbb javasolt azokat egy aktívan támogatott modellre cserélni. Emellett kiemelten fontos a legfrissebb firmware-verziók telepítése, az alapértelmezett rendszergazdai jelszavak megváltoztatása, valamint a távoli menedzsmentfelületek letiltása a támadási felület csökkentése érdekében.