Qianxin XLab ha documentato un nuovo botnet, denominato AryStinger, che trasforma vecchi router D-Link con chip RTL819X e dispositivi NAS in nodi per attività di scansione e attacco. Il botnet sfrutta vulnerabilità note da oltre tredici anni.

Almeno 4.300 dispositivi sono già stati compromessi, secondo i ricercatori di Qianxin XLab che hanno individuato AryStinger lo scorso marzo. Questo conteggio, rilevato tramite la piattaforma QiAnXin Eagle Map, è in continuo aumento e non include al momento i dispositivi NAS per i quali non esiste un metodo di misurazione equivalente.

AryStinger sfrutta le vulnerabilità CVE-2013-3307 e CVE-2016-5681 per colpire i router D-Link con chip RTL819X, in particolare i modelli DIR-850L e DIR-818LW. Una terza vulnerabilità, CVE-2025-11837, viene utilizzata per compromettere i dispositivi NAS.

Il primo campione è stato rilevato il 12 marzo, quando un indirizzo IP che diffondeva binari ELF non ha generato alcun rilevamento su VirusTotal. Anche attualmente, i campioni e i server di comando associati presentano un basso tasso di individuazione nei principali motori antivirus.

AryStinger si presenta in due varianti: una versione per router, scritta in C per l’architettura RTL819X, con funzionalità limitate alla risoluzione DNS tramite massdns e al tunneling. Questa variante installa dropbear, un server SSH leggero sulla porta 2332, per garantire un accesso remoto persistente.

La versione Standard, scritta in Go e destinata ai NAS, è più completa e integra strumenti di penetration testing open source come fscan, ksubdomain, httpx e Tlsx per la ricognizione della rete interna. Utilizza gs-netcat come backdoor e supporta il task ScriptWork, che esegue comandi shell e payload in Go, Java e Python a livello di codice sorgente. Ogni dispositivo infetto diventa un Executor.

Il server di comando e controllo frammenta le operazioni di scansione su larga scala in sottotask assegnati a diversi Executor, eseguendoli in parallelo. La comunicazione avviene tramite HTTP/HTTPS con dati serializzati in Protobuf e cifrati in XOR utilizzando la chiave hardcoded ‘sh_#@!_2024_secret’. L’inclusione del “2024” suggerisce che l’attività potrebbe essere iniziata già l’anno precedente alla scoperta.

Sui router compromessi, il malware può modificare le impostazioni DNS per dirottare la navigazione e monitorare il traffico in entrata e in uscita. L’infrastruttura di scansione DNS distribuita potrebbe essere riconvertita per generare un elevato volume di query contro i resolver, configurando un potenziale attacco DDoS, anche se finora non si sono verificati eventi del genere.

La distribuzione geografica delle infezioni è particolare: la Corea del Sud registra il 48,45% dei dispositivi compromessi, seguita dalla Cina (31,82%), Svezia, Malesia e Singapore con quote minori. Il modello DIR-850L rappresenta il 75% dei contagi, seguito dal DIR-818LW con il 13%.

AryStinger non è stato ancora attribuito a nessun gruppo specifico. Da quando è stata scoperta, sono stati raccolti oltre cinquanta campioni delle due varianti, con numeri di versione in rapida evoluzione, indicando un continuo sviluppo.

Nell’analisi tecnica completa, corredata da indicatori di compromissione e dettagli architetturali, XLab raccomanda di sostituire i router a fine vita con modelli ancora supportati, aggiornare il firmware, modificare la password dell’amministratore e disabilitare il pannello di gestione remota. Si tratta delle contromisure standard contro una minaccia che si basa principalmente su hardware obsoleto.