Mastodon Mastodon Mastodon Mastodon

AryStinger: nuevo botnet que secuestra routers D-Link obsoletos

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Los investigadores de Qianxin XLab informaron sobre un botnet previamente desconocido, AryStinger, que, según sus datos, ha comprometido más de 4000 routers obsoletos en todo el mundo. El malware convierte los dispositivos infectados en nodos proxy controlados, utilizados para escaneo distribuido, tunelización de tráfico y preparación de ataques posteriores. Los objetivos principales son los modelos fuera de soporte D-Link DIR-850L y DIR-818LW. Se recomienda a los propietarios de estos dispositivos que consideren su sustitución de inmediato, ya que el fabricante ya no publica actualizaciones de seguridad.

Mecanismo de infección y vulnerabilidades explotadas

Según los investigadores, para la compromisión inicial AryStinger explota tres vulnerabilidades:

Las tres CVE están registradas en NVD. Sin embargo, debe tenerse en cuenta que la afirmación de su explotación activa específicamente por parte de AryStinger se basa en un único informe de investigación y aún no ha sido confirmada por fuentes independientes. Ninguna de estas vulnerabilidades figura en el catálogo CISA KEV.

El problema clave es que los modelos D-Link objetivo alcanzaron hace tiempo el fin de su ciclo de vida (End of Life). El fabricante no publica parches para ellos, lo que hace que cualquier vulnerabilidad descubierta sea, en la práctica, imposible de corregir por vía de software.

Arquitectura y capacidades del botnet

Según informan los investigadores, AryStinger implementa una arquitectura distribuida en la que los routers infectados actúan como “ejecutores” remotos. Los operadores del botnet dividen las tareas de gran escala —por ejemplo, el escaneo de rangos de direcciones IP— en partes pequeñas y las distribuyen entre numerosos dispositivos comprometidos para su ejecución en paralelo. Este enfoque aumenta la velocidad del reconocimiento y reduce la probabilidad de detección, ya que cada nodo individual genera un volumen mínimo de tráfico sospechoso.

Además de la función de proxy y el escaneo, AryStinger, de acuerdo con Qianxin XLab, dispone de las siguientes capacidades:

  • Modificación de la configuración de DNS en el dispositivo infectado;
  • Redirección del tráfico del navegador de los usuarios;
  • Supervisión y posible interceptación del tráfico de red entrante y saliente.

La modificación de DNS es una función especialmente peligrosa: permite redirigir de forma imperceptible a los usuarios hacia recursos de phishing o manipular actualizaciones de software, mientras que la víctima no observa anomalías aparentes en su dispositivo.

Dos variantes: routers y NAS

Los investigadores identificaron dos variantes de AryStinger. La primera está escrita en C y se orienta a routers obsoletos. La segunda, escrita en Go, tiene como objetivo dispositivos de almacenamiento en red (NAS). Aunque la variante para NAS es por ahora menos común, según se informa, cuenta con un conjunto de funciones considerablemente más amplio:

  • Escaneo de IP y DNS;
  • Ejecución de comandos arbitrarios y cargas útiles adicionales;
  • Reconocimiento en la red local utilizando herramientas de pruebas de penetración de código abierto;
  • Ejecución de código fuente en Go, Java y Python (siempre que existan los entornos de ejecución correspondientes en el sistema infectado).

La dependencia de los entornos de ejecución instalados es a la vez una limitación y un factor de exposición: los intentos de compilar y ejecutar código generan una actividad visible que las soluciones de seguridad pueden detectar.

El informe también menciona la posibilidad teórica de utilizar la infraestructura distribuida de AryStinger para generar grandes volúmenes de consultas DNS hacia resolvers. No obstante, no se han observado en la práctica ataques de este tipo.

Distribución geográfica

Según la telemetría de Qianxin XLab, la concentración de dispositivos infectados no es uniforme:

  • Corea del Sur — 48,5%;
  • China — 31,8%;
  • Suecia — 6,4%;
  • Malasia — 3,5%;
  • Singapur — 2,5%.

La dominancia de Corea del Sur y China probablemente se explica por la alta densidad de uso de los modelos D-Link DIR-850L y DIR-818LW en estas regiones. Cabe señalar que estos datos proceden de una única fuente y no han sido sometidos a verificación independiente.

Evaluación de riesgos

La principal amenaza de AryStinger no es tanto el daño directo a los propietarios de los routers infectados como el uso de su infraestructura como punto de apoyo para ataques contra terceros. Un router comprometido en una red doméstica u oficina crea varios vectores de riesgo:

  • Intercepción de tráfico: todos los dispositivos de la red detrás del router infectado son potencialmente vulnerables a escuchas;
  • Suplantación de DNS: los usuarios pueden ser redirigidos a recursos maliciosos sin ningún signo visible de compromiso;
  • Riesgos legales: la dirección IP del router infectado puede aparecer como origen de escaneos y ataques;
  • Movimiento lateral: especialmente en el caso de la variante para NAS, el reconocimiento en la red local abre la puerta a la compromisión de otros dispositivos.

Recomendaciones de protección

Dado que los modelos de D-Link afectados ya no reciben actualizaciones, el enfoque estándar de “instale el parche” no es aplicable. Se recomiendan las siguientes medidas:

  1. Sustitución del hardware: los routers D-Link DIR-850L y DIR-818LW deben retirarse de servicio y reemplazarse por modelos con soporte. Esta es la única medida realmente fiable.
  2. Si la sustitución inmediata no es posible: desactive la administración remota (acceso WAN a la interfaz de gestión), desactive UPnP y cambie las credenciales por defecto.
  3. Supervisión de DNS: verifique la configuración de DNS en el router; si se ha modificado hacia servidores desconocidos, el dispositivo puede estar comprometido.
  4. Monitorización de red: vigile el tráfico saliente anómalo del router: volúmenes inusuales de conexiones, accesos a direcciones IP atípicas, actividad de escaneo.
  5. Segmentación de la red: si en la infraestructura hay dispositivos NAS, aíslos en un segmento independiente con acceso restringido.

El botnet AryStinger es una nueva confirmación de que el equipamiento de red obsoleto sin soporte del fabricante no representa un riesgo abstracto, sino un riesgo operativo muy concreto. Las organizaciones y los usuarios domésticos que operan D-Link DIR-850L o DIR-818LW deberían planificar la sustitución de estos dispositivos en un futuro próximo, sin esperar a una confirmación de compromiso que, en el caso de un botnet de routers, puede que nunca resulte evidente para el usuario final.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio