Los investigadores de QiAnXin XLab informan sobre una nueva familia de malware AryStinger, que infecta routers domésticos obsoletos basados en chips Realtek RTL819X y dispositivos NAS QNAP, convirtiéndolos no en una botnet DDoS típica, sino en una infraestructura distribuida para reconocimiento y proxy de tráfico. Según los investigadores, al menos 4 300 routers están infectados, y la cifra sigue creciendo. Los propietarios de dispositivos D-Link DIR-850L, routers Linksys basados en RTL819X y NAS QNAP con la utilidad Malware Remover deben comprobar de inmediato sus equipos en busca de indicadores de compromiso y considerar retirar de servicio los dispositivos que ya no reciben actualizaciones de seguridad.
Функциональное назначение и архитектура
AryStinger se diferencia de forma fundamental de la mayoría de las botnets de IoT. Los dispositivos infectados no generan tráfico basura para provocar denegaciones de servicio: ejecutan tareas propias de la fase inicial de un ataque dirigido, como el escaneo de internet, la toma de huellas de servicios, la enumeración de subdominios, el tunelizado de tráfico y la ejecución de comandos arbitrarios. Los resultados se envían al operador, y cada router infectado funciona al mismo tiempo como un nodo repetidor que oculta la ubicación real del atacante.
Según XLab, existen dos variantes del malware, adaptadas a distintos equipos:
- Variante para routers — está escrita en C y está aligerada para funcionar en hardware poco potente. Se limita al escaneo masivo de DNS y al tunelizado de tráfico.
- Variante para NAS — está escrita en Go y tiene una funcionalidad ampliada. Escanea tanto redes internas como externas y utiliza las herramientas fscan, ksubdomain y httpx. El módulo ScriptWork permite ejecutar código arbitrario en Go, Java o Python, suministrado por el operador, sin necesidad de compilar un binario para cada objetivo.
La comunicación con el servidor de mando y control se realiza mediante HTTP/HTTPS con codificación Protobuf y ofuscación XOR (la variante en Go además aplica gzip). El operador divide las tareas de escaneo a gran escala en fragmentos y las distribuye entre los nodos infectados, lo que permite un reconocimiento paralelo.
Эксплуатируемые уязвимости и вектор заражения
Para comprometer routers, AryStinger explota dos vulnerabilidades conocidas desde hace años:
- CVE-2013-3307 — vulnerabilidad en routers Linksys, fechada en 2013.
- CVE-2016-5681 — vulnerabilidad en routers D-Link, descubierta en 2016.
Según se indica, XLab observó por primera vez actividad de AryStinger el 12 de marzo de 2026: la propagación se realizaba desde una única dirección IP 107.150.106.14. El binario descargado era un Linux ELF que, en el momento de su detección, no era identificado por ningún motor en VirusTotal.
El 26 de abril apareció una segunda variante dirigida a dispositivos NAS QNAP a través de CVE-2025-11837, una vulnerabilidad de inyección de código en la utilidad QNAP Malware Remover. La ironía es que el propio instrumento de protección contra malware se usa como vector de infección. La vulnerabilidad se demostró en Pwn2Own Ireland 2025 y QNAP la corrigió en noviembre de 2025, varios meses antes de que empezara a explotarse en el marco de esta campaña. XLab no ha estimado el número de dispositivos NAS comprometidos, por lo que la cifra de 4 300 se refiere exclusivamente a routers.
Масштаб и география заражения
Según los investigadores, la gran mayoría de los dispositivos infectados son routers D-Link, y el modelo D-Link DIR-850L representa alrededor del 75 % del total de nodos comprometidos. La distribución geográfica es desigual: aproximadamente el 48 % corresponde a Corea del Sur, alrededor del 32 % a China; a continuación figuran Suecia, Malasia y Singapur.
Los mecanismos de persistencia varían según la plataforma: en los routers se instala el servidor SSH Dropbear en el puerto 2332, y en los NAS se utiliza gs-netcat. En el código se ha encontrado una clave codificada de forma rígida sh_#@!_2024_secret.
Контекст угрозы: операционные ретрансляционные сети
El modelo de AryStinger encaja en una tendencia más amplia documentada por Mandiant en el contexto de las llamadas redes de retransmisión operativas (ORB), infraestructuras en malla compuestas por routers obsoletos y dispositivos IoT comprometidos que actores estatales utilizan para escaneo y retransmisión de tráfico, lo que dificulta la atribución. Redes como LapDogs, descritas por Mandiant, comprometen dispositivos aprovechando precisamente vulnerabilidades conocidas pero sin parchear: el mismo enfoque que usa AryStinger.
En mayo de 2025, el FBI y el Departamento de Justicia de EE. UU. desmantelaron los servicios 5socks y Anyproxy, que convertían routers Linksys y Cisco antiguos infectados con el malware TheMoon en proxies residenciales vendidos por suscripción. AryStinger, al parecer, implementa el mismo concepto, pero en el contexto de operaciones de reconocimiento.
Por el momento no se ha establecido la atribución de AryStinger: XLab indica que el trabajo para identificar a los operadores continúa.
Оценка воздействия
Están expuestos a mayor riesgo las organizaciones y los usuarios domésticos que operan equipamiento de red obsoleto basado en chips Realtek RTL819X, fabricado entre 2012 y 2015, así como dispositivos NAS QNAP con la utilidad Malware Remover sin actualizar. La concentración de infecciones en Corea del Sur y China puede indicar tanto la prevalencia de equipos vulnerables en estas regiones como una selección geográfica deliberada.
El riesgo principal no reside en el daño directo al propietario del dispositivo infectado, sino en que su equipo pasa a formar parte de la infraestructura utilizada para atacar a terceros. Esto crea riesgos jurídicos y de reputación: la dirección IP del dispositivo comprometido puede acabar en listas negras o aparecer en investigaciones de incidentes.
Практические рекомендации
Para comprobar si hay compromiso:
- Comprobar la existencia de conexiones salientes al dominio ajb8.com y a los hosts relacionados del listado de indicadores de XLab.
- Revisar el directorio
/tmp/binen busca de binarios desconocidos. - Buscar procesos con los nombres syswapd0h o syswapd0w.
- Comprobar si el puerto 2332 (Dropbear SSH) está abierto en los routers.
Para mitigar la amenaza:
- Los routers basados en Realtek RTL819X que ya no reciben actualizaciones de firmware deben retirarse de servicio y sustituirse por modelos con soporte.
- En los dispositivos NAS QNAP, actualizar Malware Remover a la versión que corrige CVE-2025-11837.
- Desactivar la administración remota en todos los dispositivos accesibles desde internet.
- Bloquear en el perímetro de la red las conexiones a la IP 107.150.106.14 y al dominio ajb8.com.
Un dispositivo cuyo último parche de seguridad data de 2016 no puede protegerse mediante ninguna configuración: la única medida realmente fiable para los routers con RTL819X sin soporte del proveedor es su sustitución física. Para los dispositivos NAS QNAP es crítico aplicar la actualización de Malware Remover publicada en noviembre de 2025, si aún no se ha hecho: es precisamente la vulnerabilidad sin corregir en la herramienta de protección la que se utiliza como punto de entrada.
