Исследователи из QiAnXin XLab сообщают о новом семействе вредоносного ПО AryStinger, которое заражает устаревшие домашние роутеры на чипах Realtek RTL819X и NAS-устройства QNAP, превращая их не в типичный DDoS-ботнет, а в распределённую инфраструктуру для разведки и проксирования трафика. По данным исследователей, заражены как минимум 4 300 роутеров, и число продолжает расти. Владельцам устройств D-Link DIR-850L, Linksys на базе RTL819X и QNAP NAS с утилитой Malware Remover следует немедленно проверить оборудование на наличие индикаторов компрометации и рассмотреть вывод из эксплуатации устройств, не получающих обновления безопасности.
Функциональное назначение и архитектура
AryStinger принципиально отличается от большинства IoT-ботнетов. Заражённые устройства не генерируют мусорный трафик для отказа в обслуживании — они выполняют задачи, характерные для начальной фазы целевой атаки: сканирование интернета, снятие отпечатков сервисов, перечисление поддоменов, туннелирование трафика и выполнение произвольных команд. Результаты передаются оператору, а каждый заражённый роутер одновременно служит узлом-ретранслятором, скрывающим реальное местоположение атакующего.
По данным XLab, существуют два варианта вредоноса, адаптированных под разное оборудование:
- Вариант для роутеров — написан на C, облегчён для работы на слабом оборудовании. Ограничен массовым DNS-сканированием и туннелированием трафика.
- Вариант для NAS — написан на Go, обладает расширенной функциональностью. Сканирует как внутренние, так и внешние сети, использует инструменты fscan, ksubdomain и httpx. Модуль ScriptWork позволяет выполнять произвольный код на Go, Java или Python, поставляемый оператором, — без необходимости компилировать бинарный файл под каждую цель.
Коммуникация с управляющим сервером осуществляется по HTTP/HTTPS с использованием Protobuf-кодирования и обфускации XOR (вариант на Go дополнительно применяет gzip). Оператор разбивает масштабные задачи сканирования на фрагменты и распределяет их по заражённым узлам, обеспечивая параллельную разведку.
Эксплуатируемые уязвимости и вектор заражения
Для компрометации роутеров AryStinger эксплуатирует две давно известные уязвимости:
- CVE-2013-3307 — уязвимость в роутерах Linksys, датированная 2013 годом.
- CVE-2016-5681 — уязвимость в роутерах D-Link, обнаруженная в 2016 году.
Как сообщается, XLab впервые зафиксировала активность AryStinger 12 марта 2026 года — распространение шло с единственного IP-адреса 107.150.106.14. Загружаемый бинарный файл представлял собой Linux ELF, который на момент обнаружения не детектировался ни одним движком на VirusTotal.
26 апреля появился второй вариант, нацеленный на NAS-устройства QNAP через CVE-2025-11837 — уязвимость внедрения кода в утилите QNAP Malware Remover. Ирония в том, что вектором заражения служит собственный инструмент защиты от вредоносного ПО. Уязвимость была продемонстрирована на Pwn2Own Ireland 2025 и исправлена QNAP в ноябре 2025 года — за несколько месяцев до начала эксплуатации в рамках этой кампании. Количество заражённых NAS-устройств XLab не оценивала, поэтому цифра 4 300 относится исключительно к роутерам.
Масштаб и география заражения
По данным исследователей, подавляющее большинство заражённых устройств — роутеры D-Link, при этом модель D-Link DIR-850L составляет около 75% от общего числа инфицированных узлов. Географическое распределение неравномерно: примерно 48% приходится на Южную Корею, около 32% — на Китай, далее следуют Швеция, Малайзия и Сингапур.
Механизмы закрепления различаются в зависимости от платформы: на роутерах устанавливается SSH-сервер Dropbear на порту 2332, на NAS используется gs-netcat. В коде обнаружен жёстко заданный ключ sh_#@!_2024_secret.
Контекст угрозы: операционные ретрансляционные сети
Модель AryStinger вписывается в более широкую тенденцию, задокументированную Mandiant в контексте так называемых операционных ретрансляционных сетей (ORB) — mesh-инфраструктур из скомпрометированных устаревших роутеров и IoT-устройств, которые государственные акторы используют для сканирования и ретрансляции трафика, затрудняя атрибуцию. Сети вроде LapDogs, описанные Mandiant, используют для компрометации устройств именно известные, но незакрытые уязвимости — тот же подход, что и AryStinger.
В мае 2025 года ФБР и Министерство юстиции США ликвидировали сервисы 5socks и Anyproxy, которые превращали устаревшие роутеры Linksys и Cisco, заражённые вредоносом TheMoon, в резидентные прокси, продаваемые по подписке. AryStinger, по всей видимости, реализует ту же концепцию, но в контексте разведывательных операций.
Атрибуция AryStinger на данный момент не установлена — XLab сообщает, что работа по идентификации операторов продолжается.
Оценка воздействия
Наибольшему риску подвержены организации и домашние пользователи, эксплуатирующие устаревшее сетевое оборудование на чипах Realtek RTL819X, выпущенное в период 2012–2015 годов, а также NAS-устройства QNAP с необновлённой утилитой Malware Remover. Концентрация заражений в Южной Корее и Китае может указывать как на распространённость уязвимого оборудования в этих регионах, так и на целенаправленный выбор географии.
Ключевой риск состоит не в прямом ущербе владельцу заражённого устройства, а в том, что его оборудование становится частью инфраструктуры для атак на третьи стороны. Это создаёт юридические и репутационные риски: IP-адрес скомпрометированного устройства может оказаться в чёрных списках или фигурировать в расследованиях инцидентов.
Практические рекомендации
Для проверки на компрометацию:
- Проверить наличие исходящих соединений к домену ajb8.com и связанным хостам из списка индикаторов XLab.
- Проверить каталог
/tmp/binна наличие неизвестных бинарных файлов. - Искать процессы с именами syswapd0h или syswapd0w.
- Проверить наличие открытого порта 2332 (Dropbear SSH) на роутерах.
Для устранения угрозы:
- Роутеры на базе Realtek RTL819X, не получающие обновления прошивки, следует вывести из эксплуатации и заменить на поддерживаемые модели.
- На NAS-устройствах QNAP — обновить Malware Remover до версии, закрывающей CVE-2025-11837.
- Отключить удалённое администрирование на всех устройствах, доступных из интернета.
- Заблокировать на периметре сети соединения к IP 107.150.106.14 и домену ajb8.com.
Устройство, последний раз получавшее патч безопасности в 2016 году, не может быть защищено никакими настройками — единственная надёжная мера для роутеров на RTL819X без поддержки вендора — физическая замена. Для NAS-устройств QNAP критически важно применить обновление Malware Remover, выпущенное в ноябре 2025 года, если это не было сделано ранее: именно незакрытая уязвимость в защитном инструменте используется как точка входа.
