Дослідники Qianxin XLab повідомили про раніше невідомий ботнет AryStinger, який, за їхніми даними, скомпрометував понад 4000 застарілих роутерів у всьому світі. Зловмисне програмне забезпечення перетворює інфіковані пристрої на керовані проксі-вузли, які використовуються для розподіленого сканування, тунелювання трафіку та підготовки подальших атак. Основні цілі — зняті з підтримки моделі D-Link DIR-850L та DIR-818LW. Власникам цих пристроїв рекомендується негайно розглянути їхню заміну, оскільки виробник більше не випускає оновлення безпеки.
Механізм зараження та експлуатовані вразливості
За даними дослідників, для початкової компрометації AryStinger експлуатує три вразливості:
- CVE-2013-3307 — вразливість 2013 року;
- CVE-2016-5681 — вразливість 2016 року;
- CVE-2025-11837 — більш нова вразливість.
Усі три CVE зареєстровані в NVD. Водночас варто зважати, що твердження про їхню активну експлуатацію саме AryStinger ґрунтується на єдиному дослідницькому звіті й поки не підтверджене незалежними джерелами. Жодна з цих вразливостей не внесена до каталогу CISA KEV.
Ключова проблема полягає в тому, що цільові моделі D-Link давно досягли кінця життєвого циклу (End of Life). Виробник не випускає для них патчі, що робить будь-які виявлені вразливості фактично невиправними програмними засобами.
Архітектура та можливості ботнету
Як повідомляють дослідники, AryStinger реалізує розподілену архітектуру, у якій інфіковані роутери виступають віддаленими «виконавцями». Оператори ботнету розбивають масштабні завдання — наприклад, сканування діапазонів IP-адрес — на дрібні частини й розподіляють їх між багатьма скомпрометованими пристроями для паралельного виконання. Такий підхід підвищує швидкість розвідки та знижує ймовірність виявлення, оскільки кожен окремий вузол генерує мінімальний обсяг підозрілого трафіку.
Окрім проксування та сканування, AryStinger, за даними Qianxin XLab, має такі можливості:
- Зміна налаштувань DNS на інфікованому пристрої;
- Перенаправлення браузерного трафіку користувачів;
- Моніторинг і потенційне перехоплення вхідного та вихідного мережевого трафіку.
Модифікація DNS — особливо небезпечна функція: вона дає змогу непомітно перенаправляти користувачів на фішингові ресурси або підмінювати оновлення програмного забезпечення, при цьому жертва не бачить жодних аномалій на рівні свого пристрою.
Два варіанти: роутери та NAS
Дослідники ідентифікували два варіанти AryStinger. Перший написаний мовою C і орієнтований на застарілі роутери. Другий, написаний на Go, націлений на мережеві сховища (NAS). Хоча варіант для NAS поки що менш поширений, він, за повідомленнями, має значно ширший набір функцій:
- IP- та DNS-сканування;
- Запуск довільних команд і додаткових корисних навантажень;
- Розвідка в локальній мережі з використанням інструментів для тестування на проникнення з відкритим вихідним кодом;
- Виконання вихідного коду на Go, Java та Python (за наявності відповідних серед виконання на інфікованій системі).
Залежність від установлених серед виконання — водночас і обмеження, і фактор, що демаскує: спроби компіляції та запуску коду створюють помітну активність, яку можуть виявити засоби захисту.
В звіті також згадується теоретична можливість використання розподіленої інфраструктури AryStinger для генерації масових DNS-запитів до резолверів. Однак подібних атак на практиці зафіксовано не було.
Географічний розподіл
Згідно з телеметрією Qianxin XLab, концентрація інфікованих пристроїв є нерівномірною:
- Південна Корея — 48,5%;
- Китай — 31,8%;
- Швеція — 6,4%;
- Малайзія — 3,5%;
- Сінгапур — 2,5%.
Домінування Південної Кореї та Китаю, ймовірно, пояснюється високою щільністю використання моделей D-Link DIR-850L та DIR-818LW у цих регіонах. Варто зазначити, що ці дані отримані з єдиного джерела й не пройшли незалежну верифікацію.
Оцінка ризиків
Основна загроза AryStinger — не стільки прямий збиток власникам інфікованих роутерів, скільки використання їхньої інфраструктури як плацдарму для атак на треті сторони. Скомпрометований роутер у домашній або офісній мережі створює кілька векторів ризику:
- Перехоплення трафіку: усі пристрої в мережі за інфікованим роутером потенційно вразливі до прослуховування;
- DNS-підміна: користувачі можуть бути перенаправлені на шкідливі ресурси без будь-яких видимих ознак компрометації;
- Юридичні ризики: IP-адреса інфікованого роутера може фігурувати як джерело сканувань та атак;
- Латеральне переміщення: особливо для NAS-варіанту — розвідка в локальній мережі відкриває шлях до компрометації інших пристроїв.
Рекомендації щодо захисту
Оскільки згадані моделі D-Link більше не отримують оновлень, стандартний підхід «установіть патч» непридатний. Рекомендуються такі заходи:
- Заміна обладнання: роутери D-Link DIR-850L та DIR-818LW слід вивести з експлуатації й замінити на підтримувані моделі. Це єдиний надійний захід.
- Якщо негайна заміна неможлива: вимкніть віддалене адміністрування (WAN-доступ до інтерфейсу керування), вимкніть UPnP, змініть стандартні облікові дані.
- Моніторинг DNS: перевірте налаштування DNS на роутері — якщо вони змінені на невідомі сервери, пристрій може бути скомпрометований.
- Мережевий моніторинг: відстежуйте аномальний вихідний трафік із роутера — нетипові обсяги з’єднань, звернення до незвичних IP-адрес, сканувальну активність.
- Сегментація мережі: якщо в інфраструктурі присутні NAS-пристрої, ізолюйте їх в окремому сегменті з обмеженим доступом.
Ботнет AryStinger — чергове підтвердження того, що застаріле мережеве обладнання без підтримки виробника становить не абстрактний, а цілком конкретний операційний ризик. Організаціям і домашнім користувачам, які експлуатують D-Link DIR-850L або DIR-818LW, слід запланувати заміну цих пристроїв у найближчий час — не чекаючи підтвердження компрометації, яке у випадку роутерного ботнету може ніколи не стати очевидним для кінцевого користувача.
