Mastodon Mastodon Mastodon Mastodon

AryStinger nutzt End-of-Life-D-Link-Router als globale Proxy-Infrastruktur

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forschende von Qianxin XLab haben berichtet über das bislang unbekannte Botnet AryStinger, das ihren Angaben zufolge mehr als 4000 veraltete Router weltweit kompromittiert hat. Die Malware verwandelt infizierte Geräte in fernsteuerbare Proxy-Knoten, die für verteiltes Scanning, Traffic-Tunneling und die Vorbereitung nachfolgender Angriffe genutzt werden. Hauptziele sind die abgekündigten Modelle D-Link DIR-850L und DIR-818LW. Besitzern dieser Geräte wird empfohlen, ihren Austausch umgehend in Betracht zu ziehen, da der Hersteller keine Sicherheitsupdates mehr bereitstellt.

Infektionsmechanismus und ausgenutzte Schwachstellen

Nach Angaben der Forschenden nutzt AryStinger für die anfängliche Kompromittierung drei Schwachstellen aus:

Alle drei CVEs sind in der NVD erfasst. Allerdings ist zu beachten, dass die Behauptung über ihre aktive Ausnutzung speziell durch AryStinger auf einem einzigen Forschungsbericht basiert und bislang nicht durch unabhängige Quellen bestätigt wurde. Keine dieser Schwachstellen ist im CISA-KEV-Katalog aufgeführt.

Das Kernproblem besteht darin, dass die anvisierten D-Link-Modelle längst das Ende ihres Lebenszyklus (End of Life) erreicht haben. Der Hersteller veröffentlicht dafür keine Patches mehr, wodurch neu entdeckte Schwachstellen praktisch nicht mehr softwareseitig zu beheben sind.

Architektur und Fähigkeiten des Botnets

Den Forschenden zufolge implementiert AryStinger eine verteilte Architektur, in der die infizierten Router als entfernte „Ausführungsinstanzen“ fungieren. Die Betreiber des Botnets zerlegen groß angelegte Aufgaben – etwa das Scannen von IP-Adressbereichen – in kleine Teilaufgaben und verteilen diese auf zahlreiche kompromittierte Geräte zur parallelen Ausführung. Dieser Ansatz erhöht die Geschwindigkeit der Aufklärung und senkt die Entdeckungswahrscheinlichkeit, da jeder einzelne Knoten nur ein minimales Volumen verdächtigen Traffics erzeugt.

Zusätzlich zu Proxy-Funktionalität und Scanning verfügt AryStinger nach Angaben von Qianxin XLab über folgende Fähigkeiten:

  • Änderung der DNS-Einstellungen auf dem infizierten Gerät;
  • Umleitung des Browser-Traffics der Nutzer;
  • Überwachung und potenzielles Abfangen des ein- und ausgehenden Netzwerkverkehrs.

Die Manipulation von DNS ist eine besonders gefährliche Funktion: Sie ermöglicht es, Nutzer unbemerkt auf Phishing-Seiten umzuleiten oder Software-Updates zu manipulieren, ohne dass das Opfer auf der Ebene seines Geräts irgendwelche Auffälligkeiten bemerkt.

Zwei Varianten: Router und NAS

Die Forschenden haben zwei Varianten von AryStinger identifiziert. Die erste ist in C geschrieben und auf veraltete Router ausgerichtet. Die zweite, in Go geschriebene Variante zielt auf Network Attached Storage (NAS). Obwohl die NAS-Variante bislang weniger verbreitet ist, soll sie über deutlich umfangreichere Funktionen verfügen:

  • IP- und DNS-Scanning;
  • Ausführung beliebiger Befehle und zusätzlicher Payloads;
  • Aufklärung im lokalen Netzwerk mithilfe von Open-Source-Tools für Penetrationstests;
  • Ausführung von Quellcode in Go, Java und Python (sofern die entsprechenden Laufzeitumgebungen auf dem kompromittierten System vorhanden sind).

Die Abhängigkeit von installierten Laufzeitumgebungen ist zugleich Einschränkung und Enttarnungsfaktor: Versuche, Code zu kompilieren und auszuführen, erzeugen auffällige Aktivitäten, die von Sicherheitslösungen erkannt werden können.

Im Bericht wird zudem die theoretische Möglichkeit erwähnt, die verteilte Infrastruktur von AryStinger zur Generierung massenhafter DNS-Anfragen an Resolver zu nutzen. Allerdings wurden keine derartigen Angriffe in der Praxis beobachtet.

Geografische Verteilung

Laut Telemetriedaten von Qianxin XLab ist die Verteilung der infizierten Geräte ungleichmäßig:

  • Südkorea — 48,5%;
  • China — 31,8%;
  • Schweden — 6,4%;
  • Malaysia — 3,5%;
  • Singapur — 2,5%.

Die Dominanz Südkoreas und Chinas lässt sich vermutlich durch die hohe Verbreitung der Modelle D-Link DIR-850L und DIR-818LW in diesen Regionen erklären. Es ist zu beachten, dass diese Daten aus einer einzigen Quelle stammen und keiner unabhängigen Verifizierung unterzogen wurden.

Risikobewertung

Die Hauptgefahr von AryStinger liegt weniger in unmittelbaren Schäden für die Besitzer der kompromittierten Router, sondern in der Nutzung ihrer Infrastruktur als Ausgangsbasis für Angriffe auf Dritte. Ein kompromittierter Router in einem Heim- oder Büronetz erzeugt mehrere Risikovektoren:

  • Traffic-Abgriff: Alle Geräte im Netz hinter dem infizierten Router sind potenziell für Abhören verwundbar;
  • DNS-Manipulation: Nutzer können auf bösartige Ressourcen umgeleitet werden, ohne dass es sichtbare Anzeichen einer Kompromittierung gibt;
  • Rechtliche Risiken: Die IP-Adresse des infizierten Routers kann als Quelle von Scans und Angriffen in Erscheinung treten;
  • Laterale Bewegung: insbesondere bei der NAS-Variante ebnet die Aufklärung im lokalen Netzwerk den Weg zur Kompromittierung weiterer Geräte.

Empfehlungen zum Schutz

Da die betroffenen D-Link-Modelle keine Updates mehr erhalten, ist der Standardansatz „Patch installieren“ hier nicht anwendbar. Empfohlen werden folgende Maßnahmen:

  1. Austausch der Hardware: Die Router D-Link DIR-850L und DIR-818LW sollten außer Betrieb genommen und durch unterstützte Modelle ersetzt werden. Dies ist die einzige verlässliche Maßnahme.
  2. Falls ein sofortiger Austausch nicht möglich ist: Deaktivieren Sie Remote-Administration (WAN-Zugriff auf das Management-Interface), schalten Sie UPnP ab und ändern Sie Standard-Anmeldedaten.
  3. DNS-Monitoring: Überprüfen Sie die DNS-Einstellungen auf dem Router – wenn sie auf unbekannte Server geändert wurden, könnte das Gerät kompromittiert sein.
  4. Netzwerk-Monitoring: Überwachen Sie auffälligen ausgehenden Traffic vom Router – untypisch hohe Verbindungsvolumina, Zugriffe auf ungewöhnliche IP-Adressen sowie Scanning-Aktivität.
  5. Netzsegmentierung: Wenn in der Infrastruktur NAS-Geräte vorhanden sind, sollten diese in ein separates Segment mit eingeschränktem Zugriff isoliert werden.

Das Botnet AryStinger ist ein weiteres Beispiel dafür, dass veraltete Netzwerktechnik ohne Herstellersupport kein abstraktes, sondern ein sehr konkretes Betriebsrisiko darstellt. Organisationen und Privatanwender, die D-Link DIR-850L oder DIR-818LW einsetzen, sollten den Austausch dieser Geräte in naher Zukunft einplanen – ohne auf einen Nachweis der Kompromittierung zu warten, der bei einem Router-Botnet für Endnutzer womöglich niemals eindeutig erkennbar wird.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen