- Το AryStinger είναι νέο, μη τεκμηριωμένο ως τώρα botnet που έχει μολύνει 4.000+ παλαιούς D-Link routers, εκμεταλλευόμενο ευπάθειες CVE από το 2013 έως το 2025.
- Οι μολυσμένες συσκευές χρησιμοποιούνται για κατανεμημένη σάρωση δικτύων, παρακολούθηση κυκλοφορίας και αλλοίωση DNS — ενώ δεύτερη παραλλαγή στοχεύει NAS συσκευές.
- Συνιστάται άμεση αντικατάσταση συσκευών τέλους κύκλου ζωής (end-of-life), ενημέρωση firmware και απενεργοποίηση remote management.
Ένα νέο, μέχρι πρότινος άγνωστο botnet με την ονομασία AryStinger έχει μολύνει πάνω από 4.000 παλαιούς routers, μετατρέποντάς τους σε διαμεσολαβητές (proxies) για κακόβουλη κυκλοφορία. Σύμφωνα με ερευνητές του τμήματος threat intelligence XLab της Qianxin, το κακόβουλο λογισμικό μετατρέπει τις μολυσμένες συσκευές σε απομακρυσμένα ελεγχόμενα «executors» που εκτελούν σάρωση, proxying, tunneling και εντολές για λογαριασμό του επιτιθέμενου.
Στόχοι και ευπάθειες
Το AryStinger εκμεταλλεύεται παλαιότερες ευπάθειες, όπως τις CVE-2013-3307, CVE-2016-5681 και CVE-2025-11837, στοχεύοντας κυρίως τα μοντέλα D-Link DIR-850L και D-Link DIR-818LW. Τα δύο αυτά μοντέλα είχαν στοχευθεί στο παρελθόν και από το botnet AVrecon, το οποίο εξουδετέρωσε η Lumen το 2023.
Τα τηλεμετρικά δεδομένα της Qianxin δείχνουν ότι σχεδόν οι μισές μολύνσεις εντοπίζονται στη Νότια Κορέα (48,5%), ακολουθεί η Κίνα (31,8%), η Σουηδία (6,4%), η Μαλαισία (3,5%) και η Σιγκαπούρη (2,5%).
Δύο παραλλαγές — routers και NAS
Οι ερευνητές του XLab εντόπισαν δύο παραλλαγές του AryStinger: μία γραμμένη σε C που στοχεύει κυρίως παλαιούς routers, και μία σε Go που εστιάζει σε NAS συσκευές, με σαφώς πιο περιορισμένη εμβέλεια προς το παρόν.
Η παραλλαγή για NAS είναι η πιο εξελιγμένη, με πρόσθετες δυνατότητες όπως σάρωση IP και DNS, εκτέλεση εντολών, εκτέλεση ωφέλιμου φορτίου και εσωτερική αναγνώριση δικτύου μέσω ενσωμάτωσης εργαλείων ανοικτού κώδικα δοκιμών διείσδυσης. Για την εκτέλεση κώδικα, η παραλλαγή NAS υποστηρίζει εντολές shell, καθώς και πηγαίο κώδικα σε Go, Java και Python.
Επιπλέον, το κακόβουλο λογισμικό μπορεί να τροποποιεί τις ρυθμίσεις DNS για να υποκλέπτει την κυκλοφορία του χρήστη στο web και να παρακολουθεί αθόρυβα όλα τα δεδομένα που διέρχονται από τη μολυσμένη συσκευή.
Απόδοση και κατάσταση
Οι ερευνητές δεν απέδωσαν το AryStinger σε κάποια γνωστή ομάδα επιτιθεμένων, σημειώνοντας ότι «πολλά μυστήρια γύρω από το AryStinger παραμένουν άλυτα».
Οι χρήστες των επηρεαζόμενων μοντέλων D-Link DIR-850L και DIR-818LW καλούνται να αντικαταστήσουν τις συσκευές τέλους κύκλου ζωής με ενεργά υποστηριζόμενα μοντέλα. Επιπλέον, συνιστάται η εφαρμογή των τελευταίων διαθέσιμων ενημερώσεων firmware, η αλλαγή του προεπιλεγμένου κωδικού διαχειριστή και η απενεργοποίηση των πάνελ απομακρυσμένης διαχείρισης.
TheLab Weekly Digest
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now