Дослідники з QiAnXin XLab повідомляють про нове сімейство шкідливого ПЗ AryStinger, яке заражає застарілі домашні роутери на чипах Realtek RTL819X і NAS-пристрої QNAP, перетворюючи їх не на типовий DDoS-ботнет, а на розподілену інфраструктуру для розвідки й проксування трафіку. За даними дослідників, заражено щонайменше 4 300 роутерів, і це число продовжує зростати. Власникам пристроїв D-Link DIR-850L, Linksys на базі RTL819X і QNAP NAS з утилітою Malware Remover слід негайно перевірити обладнання на наявність індикаторів компрометації та розглянути виведення з експлуатації пристроїв, які більше не отримують оновлення безпеки.
Функціональне призначення та архітектура
AryStinger принципово відрізняється від більшості IoT-ботнетів. Заражені пристрої не генерують сміттєвий трафік для відмови в обслуговуванні — вони виконують завдання, характерні для початкового етапу цільової атаки: сканування інтернету, зняття відбитків сервісів, перелічення піддоменів, тунелювання трафіку та виконання довільних команд. Результати передаються оператору, а кожен заражений роутер одночасно слугує вузлом-ретранслятором, який приховує реальне місцезнаходження зловмисника.
За даними XLab, існує два варіанти шкідника, адаптовані під різне обладнання:
- Варіант для роутерів — написаний мовою C, полегшений для роботи на малопотужному обладнанні. Обмежується масовим DNS-скануванням і тунелюванням трафіку.
- Варіант для NAS — написаний на Go, має розширену функціональність. Сканує як внутрішні, так і зовнішні мережі, використовує інструменти fscan, ksubdomain та httpx. Модуль ScriptWork дає змогу виконувати довільний код на Go, Java чи Python, який постачає оператор, — без потреби компілювати бінарний файл під кожну ціль.
Зв’язок із сервером керування здійснюється через HTTP/HTTPS із використанням Protobuf-кодування та обфускації XOR (варіант на Go додатково застосовує gzip). Оператор ділить масштабні завдання зі сканування на фрагменти й розподіляє їх між зараженими вузлами, забезпечуючи паралельну розвідку.
Експлуатовані вразливості та вектор зараження
Для компрометації роутерів AryStinger експлуатує дві давно відомі вразливості:
- CVE-2013-3307 — вразливість у роутерах Linksys, датована 2013 роком.
- CVE-2016-5681 — вразливість у роутерах D-Link, виявлена 2016 року.
Як повідомляється, XLab уперше зафіксувала активність AryStinger 12 березня 2026 року — поширення йшло з єдиної IP-адреси 107.150.106.14. Завантажуваний бінарний файл являв собою Linux ELF, який на момент виявлення не детектувався жодним рушієм на VirusTotal.
26 квітня з’явився другий варіант, націлений на NAS-пристрої QNAP через CVE-2025-11837 — вразливість виконання коду в утиліті QNAP Malware Remover. Іронія в тому, що вектором зараження слугує власний інструмент захисту від шкідливого ПЗ. Вразливість була продемонстрована на Pwn2Own Ireland 2025 та виправлена QNAP у листопаді 2025 року — за кілька місяців до початку експлуатації в межах цієї кампанії. Кількість заражених NAS-пристроїв XLab не оцінювала, тому цифра 4 300 стосується виключно роутерів.
Масштаб і географія зараження
За даними дослідників, переважна більшість заражених пристроїв — роутери D-Link, при цьому модель D-Link DIR-850L становить близько 75% від загальної кількості інфікованих вузлів. Географічний розподіл нерівномірний: приблизно 48% припадає на Південну Корею, близько 32% — на Китай, далі йдуть Швеція, Малайзія та Сінгапур.
Механізми закріплення відрізняються залежно від платформи: на роутерах встановлюється SSH-сервер Dropbear на порту 2332, на NAS використовується gs-netcat. У коді виявлено жорстко заданий ключ sh_#@!_2024_secret.
Контекст загрози: операційні ретрансляційні мережі
Модель AryStinger вписується в ширшу тенденцію, задокументовану Mandiant у контексті так званих операційних ретрансляційних мереж (ORB) — mesh-інфраструктур із скомпрометованих застарілих роутерів та IoT-пристроїв, які державні актори використовують для сканування й ретрансляції трафіку, ускладнюючи атрибуцію. Мережі на кшталт LapDogs, описані Mandiant, для компрометації пристроїв використовують саме відомі, але не виправлені вразливості — той самий підхід, що й AryStinger.
У травні 2025 року ФБР та Міністерство юстиції США ліквідували сервіси 5socks і Anyproxy, які перетворювали застарілі роутери Linksys і Cisco, заражені шкідником TheMoon, на резидентні проксі, що продавалися за підпискою. AryStinger, вочевидь, реалізує ту саму концепцію, але в контексті розвідувальних операцій.
Атрибуція AryStinger наразі не встановлена — XLab повідомляє, що робота з ідентифікації операторів триває.
Оцінка впливу
Найбільшого ризику зазнають організації та домашні користувачі, які експлуатують застаріле мережеве обладнання на чипах Realtek RTL819X, випущене в період 2012–2015 років, а також NAS-пристрої QNAP з неоновленою утилітою Malware Remover. Концентрація заражень у Південній Кореї та Китаї може свідчити як про поширеність вразливого обладнання в цих регіонах, так і про цілеспрямований вибір географії.
Ключовий ризик полягає не в прямій шкоді власнику зараженого пристрою, а в тому, що його обладнання стає частиною інфраструктури для атак на треті сторони. Це створює юридичні та репутаційні ризики: IP-адреса скомпрометованого пристрою може опинитися в «чорних списках» або фігурувати в розслідуваннях інцидентів.
Практичні рекомендації
Для перевірки на компрометацію:
- Перевірити наявність вихідних з’єднань до домену ajb8.com та пов’язаних хостів зі списку індикаторів XLab.
- Перевірити каталог
/tmp/binна наявність невідомих бінарних файлів. - Шукати процеси з іменами syswapd0h або syswapd0w.
- Перевірити наявність відкритого порту 2332 (Dropbear SSH) на роутерах.
Для усунення загрози:
- Роутери на базі Realtek RTL819X, які більше не отримують оновлення прошивки, слід вивести з експлуатації та замінити на підтримувані моделі.
- На NAS-пристроях QNAP — оновити Malware Remover до версії, що закриває CVE-2025-11837.
- Вимкнути віддалене адміністрування на всіх пристроях, доступних з інтернету.
- Заблокувати на периметрі мережі з’єднання до IP 107.150.106.14 та домену ajb8.com.
Пристрій, який востаннє отримував патч безпеки у 2016 році, неможливо захистити жодними налаштуваннями — єдиний надійний захід для роутерів на RTL819X без підтримки вендора — фізична заміна. Для NAS-пристроїв QNAP критично важливо застосувати оновлення Malware Remover, випущене в листопаді 2025 року, якщо цього ще не зроблено раніше: саме невиправлена вразливість у захисному інструменті використовується як точка входу.
