O botnet AryStinger infectou milhares de roteadores D-Link em todo o mundo

Pesquisadores da equipe de inteligência de ameaças XLab da Qianxin dizem que o malware converte dispositivos infectados em “executores” controlados remotamente que podem realizar varredura, proxy, tunelamento, execução de comandos e outras atividades em nome do invasor.

“O invasor pode dividir uma tarefa de varredura massiva em vários pequenos pedaços e distribuí-los para diferentes executores para execução paralela”, observam os pesquisadores do XLab.

“Com esse design distribuído, o invasor pode concluir com eficiência as atividades iniciais de “pegada”, proporcionando assim uma forte garantia de suavidade e taxa de sucesso das operações de intrusão subsequentes.”.

Além de usar roteadores comprometidos como trampolim para operações maliciosas, o XLab alerta que o malware também pode adulterar as configurações de DNS, sequestrando a navegação do usuário e monitorando silenciosamente e potencialmente roubando todo o tráfego de entrada e saída da rede.

AryStinger explora falhas mais antigas, como CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837, visando principalmente roteadores D-Link DIR-850L, D-Link DIR-818LW.

Os dois modelos de roteador foram anteriormente alvo do botnet de malware AVrecon que o provedor de serviços de comunicação Lumen, Lumen, interrompeu em 2023.

Os dados de telemetria da Qianxin mostram que quase metade de todas as infecções estão localizadas na Coreia do Sul (48,5%), seguida pela China (31,8%), Suécia (6,4%), Malásia (3,5%) e Singapura (2,5%). uma versão baseada em C voltada principalmente para roteadores desatualizados e uma versão baseada em Go que se concentra em sistemas NAS, mas atualmente com um alcance muito mais limitado.

As informações são do site BleepingComputer

Compartilhe este artigo

Continue lendo

Voltar ao Blog