Исследователи Qianxin XLab сообщили о ранее неизвестном ботнете AryStinger, который, по их данным, скомпрометировал более 4000 устаревших роутеров по всему миру. Вредоносное ПО превращает заражённые устройства в управляемые прокси-узлы, используемые для распределённого сканирования, туннелирования трафика и подготовки последующих атак. Основные цели — снятые с поддержки модели D-Link DIR-850L и DIR-818LW. Владельцам этих устройств рекомендуется немедленно рассмотреть их замену, поскольку производитель больше не выпускает обновления безопасности.
Механизм заражения и эксплуатируемые уязвимости
По данным исследователей, для первоначальной компрометации AryStinger эксплуатирует три уязвимости:
- CVE-2013-3307 — уязвимость 2013 года;
- CVE-2016-5681 — уязвимость 2016 года;
- CVE-2025-11837 — более свежая уязвимость.
Все три CVE зарегистрированы в NVD. Однако следует учитывать, что утверждение об их активной эксплуатации именно AryStinger основано на единственном исследовательском отчёте и пока не подтверждено независимыми источниками. Ни одна из этих уязвимостей не внесена в каталог CISA KEV.
Ключевая проблема в том, что целевые модели D-Link давно достигли конца жизненного цикла (End of Life). Производитель не выпускает для них патчи, что делает любые обнаруженные уязвимости фактически неустранимыми программным путём.
Архитектура и возможности ботнета
Как сообщают исследователи, AryStinger реализует распределённую архитектуру, в которой заражённые роутеры выступают удалёнными «исполнителями». Операторы ботнета разбивают масштабные задачи — например, сканирование диапазонов IP-адресов — на мелкие части и распределяют их между множеством скомпрометированных устройств для параллельного выполнения. Такой подход повышает скорость разведки и снижает вероятность обнаружения, поскольку каждый отдельный узел генерирует минимальный объём подозрительного трафика.
Помимо проксирования и сканирования, AryStinger, по данным Qianxin XLab, обладает следующими возможностями:
- Изменение настроек DNS на заражённом устройстве;
- Перенаправление браузерного трафика пользователей;
- Мониторинг и потенциальное перехватывание входящего и исходящего сетевого трафика.
Модификация DNS — особенно опасная функция: она позволяет незаметно перенаправлять пользователей на фишинговые ресурсы или подменять обновления программного обеспечения, при этом жертва не замечает никаких аномалий на уровне своего устройства.
Два варианта: роутеры и NAS
Исследователи идентифицировали два варианта AryStinger. Первый написан на C и ориентирован на устаревшие роутеры. Второй, написанный на Go, нацелен на сетевые хранилища (NAS). Хотя вариант для NAS пока менее распространён, он, как сообщается, обладает значительно более широким функционалом:
- IP- и DNS-сканирование;
- Запуск произвольных команд и дополнительных полезных нагрузок;
- Разведка в локальной сети с использованием инструментов для тестирования на проникновение с открытым исходным кодом;
- Выполнение исходного кода на Go, Java и Python (при наличии соответствующих сред выполнения на заражённой системе).
Зависимость от установленных сред выполнения — одновременно и ограничение, и демаскирующий фактор: попытки компиляции и запуска кода создают заметную активность, которую могут обнаружить средства защиты.
В отчёте также упоминается теоретическая возможность использования распределённой инфраструктуры AryStinger для генерации массовых DNS-запросов к резолверам. Однако подобных атак на практике зафиксировано не было.
Географическое распределение
Согласно телеметрии Qianxin XLab, концентрация заражённых устройств неравномерна:
- Южная Корея — 48,5%;
- Китай — 31,8%;
- Швеция — 6,4%;
- Малайзия — 3,5%;
- Сингапур — 2,5%.
Доминирование Южной Кореи и Китая, вероятно, объясняется высокой плотностью использования моделей D-Link DIR-850L и DIR-818LW в этих регионах. Стоит отметить, что эти данные получены из единственного источника и не прошли независимую верификацию.
Оценка рисков
Основная угроза AryStinger — не столько прямой ущерб владельцам заражённых роутеров, сколько использование их инфраструктуры как плацдарма для атак на третьи стороны. Скомпрометированный роутер в домашней или офисной сети создаёт несколько векторов риска:
- Перехват трафика: все устройства в сети за заражённым роутером потенциально уязвимы для прослушивания;
- DNS-подмена: пользователи могут быть перенаправлены на вредоносные ресурсы без каких-либо видимых признаков компрометации;
- Юридические риски: IP-адрес заражённого роутера может фигурировать как источник сканирований и атак;
- Латеральное перемещение: особенно для NAS-варианта — разведка в локальной сети открывает путь к компрометации других устройств.
Рекомендации по защите
Поскольку затронутые модели D-Link больше не получают обновлений, стандартный подход «установите патч» неприменим. Рекомендуются следующие меры:
- Замена оборудования: роутеры D-Link DIR-850L и DIR-818LW следует вывести из эксплуатации и заменить на поддерживаемые модели. Это единственная надёжная мера.
- Если немедленная замена невозможна: отключите удалённое администрирование (WAN-доступ к интерфейсу управления), отключите UPnP, смените стандартные учётные данные.
- Мониторинг DNS: проверьте настройки DNS на роутере — если они изменены на неизвестные серверы, устройство может быть скомпрометировано.
- Сетевой мониторинг: отслеживайте аномальный исходящий трафик с роутера — нехарактерные объёмы соединений, обращения к нетипичным IP-адресам, сканирующая активность.
- Сегментация сети: если в инфраструктуре присутствуют NAS-устройства, изолируйте их в отдельном сегменте с ограниченным доступом.
Ботнет AryStinger — очередное подтверждение того, что устаревшее сетевое оборудование без поддержки производителя представляет не абстрактный, а вполне конкретный операционный риск. Организациям и домашним пользователям, эксплуатирующим D-Link DIR-850L или DIR-818LW, следует запланировать замену этих устройств в ближайшее время — не дожидаясь подтверждения компрометации, которое в случае роутерного ботнета может никогда не стать очевидным для конечного пользователя.
