AryStinger: Nova Botnet Explora Roteadores Antigos da D-Link para Ataques Globais
Malware AryStinger transforma mais de 4.000 roteadores desatualizados em proxies para atividades maliciosas, levantando sérias preocupações de segurança cibernética.
Ameaça Persistente: A Descoberta da Botnet AryStinger
Uma nova e anteriormente desconhecida botnet, batizada de AryStinger, tem propagado sua influência por milhares de dispositivos de rede em todo o mundo. Pesquisadores da Qianxin's XLab identificaram que o malware já comprometeu mais de 4.000 roteadores desatualizados, transformando-os em proxies para a execução de tráfego malicioso.
Esses dispositivos infectados se tornam "executores" remotamente controlados, capazes de realizar uma vasta gama de atividades cibernéticas. Isso inclui varreduras de rede, proxy de tráfego, tunelamento de dados e execução de comandos, tudo orquestrado pelo atacante.
Ilustração genérica de uma botnet.
A capacidade de dividir tarefas complexas de escaneamento em pequenas partes e distribuí-las para múltiplos executores permite que os cibercriminosos realizem a fase de "fazer reconhecimento" de forma eficiente. Isso assegura um alto índice de sucesso para as invasões subsequentes.
Táticas de Ataque e Impacto nos Usuários
Além de usar os roteadores comprometidos como trampolim para operações ilegais, a AryStinger apresenta outras ameaças. O malware pode manipular as configurações de DNS, sequestrando a navegação do usuário. Mais preocupante ainda é sua capacidade de monitorar e potencialmente roubar todo o tráfego de rede, tanto de entrada quanto de saída.
Servidor distribuindo tarefas de escaneamento da AryStinger.Fonte: XLab
A botnet explora vulnerabilidades conhecidas em modelos mais antigos de roteadores, com destaque para falhas como CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837. Os alvos primários identificados são os modelos D-Link DIR-850L e D-Link DIR-818LW.
Curiosamente, esses mesmos modelos de roteador já haviam sido visados anteriormente pela botnet AVrecon, que foi desmantelada em 2023. Essa recorrência destaca a persistência das ameaças a dispositivos de rede vulneráveis.
Alcance Geográfico e Variações da Ameaça
Os dados de telemetria da Qianxin indicam uma concentração significativa de infecções na Coreia do Sul, que responde por quase metade de todos os casos (48,5%). A China aparece em segundo lugar (31,8%), seguida pela Suécia (6,4%), Malásia (3,5%) e Singapura (2,5%).
Os pesquisadores identificaram duas variantes principais do malware AryStinger. Uma versão baseada em C atinge predominantemente roteadores desatualizados. Uma segunda variante, escrita em Go, foca em sistemas NAS (Network Attached Storage), embora seu alcance atual seja muito mais limitado.
Roteador infectado estabelecendo comunicação com o servidor de Comando e Controle (C2).Fonte: XLab
A variante para NAS é a mais sofisticada, com capacidades adicionais como escaneamento de IP e DNS, execução de comandos e reconhecimento de rede interna através da integração de ferramentas de testes de invasão.
Os pesquisadores alertam que a infraestrutura de escaneamento DNS distribuído da AryStinger poderia ser usada para gerar um grande volume de consultas contra resolvedores de DNS, embora ataques desse tipo ainda não tenham sido observados.
Em relação à execução de código na versão NAS, há suporte para comandos de shell, bem como para código fonte em Go, Java e Python. No entanto, a utilização de código fonte apresenta limitações, exigindo a presença de runtimes de linguagem no hospedeiro e podendo gerar ruídos que comprometem a discrição do ataque.
Até o momento, a AryStinger não foi atribuída a nenhum cluster de atividades criminosas conhecido, deixando muitos mistérios sobre sua origem e finalidade ainda a serem desvendados. Recomenda-se fortemente que proprietários de roteadores em fim de vida útil (EoL) os substituam por modelos novos e suportados, mantenham o firmware atualizado e alterem senhas padrão.
