Z raportu XLab wynika, że AryStinger zmienia zainfekowane urządzenia w zdalnie sterowane węzły określane jako „executors”. Ich rola nie ogranicza się jedynie do przekazywania ruchu sieciowego – mogą one realizować także skanowanie sieci, tunelowanie połączeń, wykonywanie poleceń oraz inne operacje wspierające atakujących.
Routery jako „wykonawcy” ataków
Badacze podkreślają, że architektura botnetu pozwala dzielić duże zadania, takie jak rekonesans infrastruktury, na mniejsze części i rozdzielać je pomiędzy wiele urządzeń. Dzięki temu możliwe jest równoległe wykonywanie operacji i przyspieszenie fazy rozpoznania przed właściwym atakiem.
XLab ostrzega również, że AryStinger nie ogranicza się do wykorzystania urządzeń jako proxy. Zainfekowane routery mogą również modyfikować ustawienia DNS, co potencjalnie umożliwia przekierowywanie użytkowników na fałszywe strony. Co więcej, malware może monitorować ruch sieciowy przechodzący przez urządzenie, co w praktyce stwarza ryzyko przechwytywania danych przesyłanych przez użytkowników.
Wykorzystywane luki i podatne urządzenia
Według XLab AryStinger wykorzystuje znane, ale wciąż obecne w środowisku urządzeń luki bezpieczeństwa, w tym CVE-2013-3307, CVE-2016-5681 oraz CVE-2025-11837. Ataki są wymierzone przede wszystkim w starsze modele routerów, w tym urządzenia D-Link z serii DIR-850L oraz DIR-818LW. Co istotne, te same modele były wcześniej celem kampanii botnetu AVrecon, który został zakłócony w 2023 roku przez Black Lotus Labs – zespół badawczy Lumen Technologies.
Dane telemetryczne XLab wskazują, że niemal połowa wszystkich zainfekowanych urządzeń znajduje się w Korei Południowej (48,5%). Kolejne miejsca zajmują Chiny (31,8%), Szwecja (6,4%), Malezja (3,5%) oraz Singapur (2,5%). Według badaczy pokazuje to globalny zasięg kampanii, choć z wyraźną koncentracją w Azji. Warto zaznaczyć, że podana liczba 4300 infekcji dotyczy wyłącznie routerów opartych na układach Realtek RTL819X – XLab nie zmierzył dotychczas skali infekcji urządzeń NAS.
Dwie wersje malware: routery i NAS
XLab zidentyfikował dwie odmiany AryStinger. Pierwsza, napisana w języku C, atakuje głównie starsze routery i odpowiada za podstawową funkcjonalność botnetu. Druga, bardziej zaawansowana wersja, napisana w języku Go, jest ukierunkowana na urządzenia NAS firmy QNAP – konkretnie poprzez lukę CVE-2025-11837, podatność na wstrzyknięcie kodu w narzędziu Malware Remover. Oferuje ona rozszerzone możliwości, takie jak skanowanie IP i DNS, wykonywanie poleceń oraz uruchamianie payloadów. Dodatkowo integruje narzędzia open source używane w testach penetracyjnych do rekonesansu sieci wewnętrznych.
Badacze zwracają uwagę, że choć wersja NAS jest bardziej rozbudowana, jej funkcjonalność związana z wykonywaniem kodu (w tym wsparcie dla poleceń powłoki oraz kodu Go, Java i Python) wiąże się z ograniczeniami, ponieważ wymaga obecności odpowiednich środowisk uruchomieniowych na urządzeniu.
Co robić? Jak się ustrzec infekcji?
XLab nie przypisuje kampanii AryStinger żadnej znanej grupie cyberprzestępczej, podkreślając, że wiele elementów działania botnetu pozostaje niewyjaśnionych. Badacze zalecają użytkownikom korzystającym z routerów i urządzeń, które osiągnęły status end-of-life, aby rozważyli ich wymianę na wspierane modele, aktualizowali firmware do najnowszej dostępnej wersji, zmieniali domyślne hasła administracyjne oraz wyłączali zdalny dostęp do paneli zarządzania.
0 komentarzy