Forscher von QiAnXin XLab berichten über eine neue Schadsoftware-Familie namens AryStinger, die veraltete Heimrouter mit Realtek-RTL819X-Chips sowie QNAP-NAS-Geräte infiziert und sie nicht in ein typisches DDoS-Botnetz, sondern in eine verteilte Infrastruktur für Aufklärung und Traffic-Proxys verwandelt. Nach Angaben der Forscher sind mindestens 4.300 Router kompromittiert, mit weiter steigender Tendenz. Besitzer von D-Link-DIR-850L-Geräten, Linksys-Routern auf RTL819X-Basis und QNAP-NAS mit dem Tool Malware Remover sollten ihre Hardware umgehend auf Indikatoren einer Kompromittierung prüfen und in Erwägung ziehen, nicht mehr mit Sicherheitsupdates versorgte Geräte außer Betrieb zu nehmen.
Funktionaler Zweck und Architektur
AryStinger unterscheidet sich grundlegend von den meisten IoT-Botnetzen. Infizierte Geräte erzeugen keinen Junk-Traffic für Denial-of-Service-Angriffe – sie führen Aufgaben aus, die typischerweise in der Anfangsphase zielgerichteter Angriffe vorkommen: Internet-Scans, Fingerprinting von Diensten, Auflistung von Subdomains, Tunneln von Traffic und Ausführung beliebiger Befehle. Die Ergebnisse werden an den Operator übermittelt, und jeder infizierte Router dient gleichzeitig als Relaisknoten, der den tatsächlichen Standort des Angreifers verschleiert.
Laut XLab existieren zwei Varianten der Malware, angepasst an unterschiedliche Hardware:
- Variante für Router – in C geschrieben, verschlankt für den Betrieb auf leistungsschwacher Hardware. Beschränkt auf massenhaftes DNS-Scanning und Traffic-Tunneling.
- Variante für NAS – in Go geschrieben, mit erweiterter Funktionalität. Scannt sowohl interne als auch externe Netze und nutzt die Tools fscan, ksubdomain und httpx. Das Modul ScriptWork ermöglicht die Ausführung beliebigen Codes in Go, Java oder Python, der vom Operator bereitgestellt wird – ohne Notwendigkeit, für jedes Ziel eine eigene Binärdatei zu kompilieren.
Die Kommunikation mit dem C2-Server erfolgt über HTTP/HTTPS unter Verwendung von Protobuf-Codierung und XOR-Obfuskation (die Go-Variante nutzt zusätzlich gzip). Der Operator zerlegt umfangreiche Scan-Aufgaben in Fragmente und verteilt sie auf die infizierten Knoten, um parallele Aufklärung zu ermöglichen.
Ausgenutzte Schwachstellen und Infektionsvektor
Zur Kompromittierung von Routern nutzt AryStinger zwei seit Langem bekannte Schwachstellen:
- CVE-2013-3307 – eine Schwachstelle in Linksys-Routern aus dem Jahr 2013.
- CVE-2016-5681 – eine 2016 entdeckte Schwachstelle in D-Link-Routern.
Wie berichtet, hat XLab die Aktivität von AryStinger erstmals am 12. März 2026 beobachtet – die Verbreitung ging von einer einzigen IP-Adresse aus: 107.150.106.14. Die heruntergeladene Binärdatei war ein Linux-ELF, der zum Zeitpunkt der Entdeckung von keiner Engine auf VirusTotal erkannt wurde.
Am 26. April erschien eine zweite Variante, die auf QNAP-NAS-Geräte über CVE-2025-11837 abzielt – eine Code-Injection-Schwachstelle im Tool QNAP Malware Remover. Ironischerweise dient damit ausgerechnet ein eigenes Schutzwerkzeug gegen Malware als Infektionsvektor. Die Schwachstelle wurde auf der Pwn2Own Ireland 2025 demonstriert und von QNAP im November 2025 behoben – mehrere Monate vor Beginn der Ausnutzung in dieser Kampagne. Die Zahl kompromittierter NAS-Geräte wurde von XLab nicht geschätzt, daher bezieht sich die Angabe von 4.300 ausschließlich auf Router.
Ausmaß und geografische Verteilung der Infektionen
Nach Angaben der Forscher handelt es sich bei der überwiegenden Mehrheit der kompromittierten Geräte um D-Link-Router, wobei das Modell D-Link DIR-850L rund 75 % aller infizierten Knoten ausmacht. Die geografische Verteilung ist ungleich: Etwa 48 % entfallen auf Südkorea, rund 32 % auf China, gefolgt von Schweden, Malaysia und Singapur.
Die Persistenzmechanismen unterscheiden sich je nach Plattform: Auf Routern wird ein Dropbear-SSH-Server auf Port 2332 installiert, auf NAS kommt gs-netcat zum Einsatz. Im Code wurde ein hartkodierter Schlüssel sh_#@!_2024_secret gefunden.
Bedrohungskontext: operationale Relaisnetzwerke
Das Modell von AryStinger fügt sich in einen breiteren Trend ein, den Mandiant im Kontext sogenannter operational relay box (ORB) networks dokumentiert hat – Mesh-Infrastrukturen aus kompromittierten, veralteten Routern und IoT-Geräten, die von staatlichen Akteuren für Scans und Traffic-Relaying genutzt werden, um die Attribution zu erschweren. Netzwerke wie LapDogs, die von Mandiant beschrieben wurden, setzen zur Kompromittierung der Geräte genau auf bekannte, aber ungepatchte Schwachstellen – derselbe Ansatz wie bei AryStinger.
Im Mai 2025 haben das FBI und das US-Justizministerium die Dienste 5socks und Anyproxy zerschlagen, die veraltete Linksys- und Cisco-Router, infiziert mit der Malware TheMoon, in Residential-Proxies verwandelten, die im Abomodell verkauft wurden. AryStinger setzt offenbar auf dasselbe Konzept, jedoch im Kontext von Aufklärungsoperationen.
Eine Attribution von AryStinger ist derzeit nicht möglich – XLab berichtet, dass die Arbeit zur Identifizierung der Operatoren andauert.
Auswirkungsanalyse
Am stärksten gefährdet sind Organisationen und Privatanwender, die veraltete Netzwerkausrüstung auf Basis von Realtek-RTL819X-Chips aus dem Zeitraum 2012–2015 sowie QNAP-NAS-Geräte mit einer nicht aktualisierten Malware-Remover-Utility betreiben. Die Häufung der Infektionen in Südkorea und China kann sowohl auf die Verbreitung verwundbarer Hardware in diesen Regionen als auch auf eine gezielte Auswahl der Geografie hindeuten.
Das zentrale Risiko besteht weniger in einem direkten Schaden für den Besitzer des kompromittierten Geräts, sondern darin, dass seine Hardware Teil einer Angriffsinfrastruktur gegen Dritte wird. Dies erzeugt juristische und Reputationsrisiken: Die IP-Adresse des kompromittierten Geräts kann auf Blacklists landen oder in Incident-Untersuchungen auftauchen.
Praktische Empfehlungen
Zur Prüfung auf eine Kompromittierung:
- Überprüfen, ob ausgehende Verbindungen zur Domain ajb8.com und zu damit verbundenen Hosts aus der XLab-IOC-Liste bestehen.
- Das Verzeichnis
/tmp/binauf unbekannte Binärdateien prüfen. - Nach Prozessen mit den Namen syswapd0h oder syswapd0w suchen.
- Das Vorhandensein des offenen Ports 2332 (Dropbear SSH) auf Routern prüfen.
Zur Beseitigung der Bedrohung:
- Router auf Basis von Realtek RTL819X, die keine Firmware-Updates mehr erhalten, sollten außer Betrieb genommen und durch unterstützte Modelle ersetzt werden.
- Auf QNAP-NAS-Geräten – Malware Remover auf eine Version aktualisieren, die CVE-2025-11837 schließt.
- Remote-Administration auf allen aus dem Internet erreichbaren Geräten deaktivieren.
- Verbindungen zur IP 107.150.106.14 und zur Domain ajb8.com am Netzperimeter blockieren.
Ein Gerät, das letztmals 2016 einen Sicherheitspatch erhalten hat, lässt sich durch keine Konfiguration ausreichend schützen – die einzige verlässliche Maßnahme für Router auf RTL819X ohne Herstellersupport ist der physische Austausch. Für QNAP-NAS-Geräte ist es zwingend erforderlich, das im November 2025 veröffentlichte Malware-Remover-Update einzuspielen, falls dies noch nicht geschehen ist: Genau die ungepatchte Schwachstelle im Schutztool wird hier als Einstiegspunkt genutzt.
