Более 4000 роутеров D-Link заражены новым ботнетом AryStinger

Специалисты по кибербезопасности из исследовательской группы Qianxin XLab зафиксировали волну заражений новым вредоносным программным обеспечением под названием ботнет AryStinger. По имеющимся данным, угроза уже инфицировала более 4 000 устаревших пользовательских маршрутизаторов по всему миру, превратив уязвимое сетевое оборудование в прокси-серверы для пропуска нежелательного хакерского интернет-трафика.

Обнаруженное исследователями вредоносное ПО представляет собой продуманное деструктивное средство. Разработчики ботнета AryStinger научили свою систему грамотно дробить ресурсоемкие сетевые задания на мелкие вычислительные задачи и динамически перераспределять их между множеством взломанных роутеров для параллельной обработки. Такой оптимизированный подход дает хакерам ощутимое преимущество на первых этапах сетевого проникновения и заметно повышает шансы на удачный взлом инфраструктурных систем.

Помимо привычной организации сети транзитных прокси-узлов, зловредный софт также способен тайно переопределять конфигурации DNS-адресов. За счет контроля и искажения DNS ботнет может навязывать поддельные веб-адреса, перенаправлять сетевые запросы людей, а также беззвучно отслеживать и красть любую чувствительную пользовательскую информацию из проходящих потоков входящего и исходящего трафика.

Характеристики масштаба распространения сети

Согласно полученной экспертами системной телеметрии, масштабы развертывания сети достаточно обширны и затрагивают множество географических точек, а пиковое количество успешных пробитий было зафиксировано на территории Азии и некоторых европейских государств.

Статистика заражения ботнетом по разным странам:

• Южная Корея — 48,5%
• Китай — 31,8%
• Швеция — 6,4%
• Малайзия — 3,5%
• Сингапур — 2,5%

Уязвимости для AryStinger

Инвазия в сетевые компоненты осуществляется на базе давно известных брешей программного обеспечения. Злоумышленники задействуют старые уязвимости систем безопасности, включая CVE-2013-3307, CVE-2016-5681, а также более актуальную запись CVE-2025-11837.

Векторы взлома целиком сориентированы на устаревшие модификации бытовых маршрутизаторов, а именно на модели D-Link DIR-850L и DIR-818LW. Любопытно, что упомянутые версии роутеров еще в 2023 году активно подвергались взлому аналогичным софтом под брендом AVrecon, нейтрализовать инфраструктуру которого у силовиков получилось совместными усилиями ИТ-компании Lumen.

Модификации ПО: C vs Go

Исследователи нашли существенную вариативность инструментов AryStinger, обнаружив работу одновременно двух автономных типов архитектуры:

• Легковесный C-вариант: предназначен для простых пользовательских роутеров, на которые приходится основной шквал проникновений из-за ограниченных мощностей самих устройств. Он быстро занимает девайсы D-Link DIR-семейства.
• Сложная Go-модификация (Golang): сориентирована на продвинутые системы сетевых накопителей (NAS). Отличается увеличенным пулом действий, в том числе комплексным анализом внутренней корпоративной сети за счет опенсорсных инструментов тестеров.

Более крупный по размеру Go-вариант содержит встроенные возможности для развертывания языков Java, Go и скриптов Python напрямую в Shell. С другой стороны, выполнение именно исходных скриптовых файлов, а не легких скомпилированных бинарных файлов усложняет выполнение и производит сторонний сетевой «шум», по которому современные программные мониторы гораздо быстрее вычисляют кибератаку.

Защитные меры

Чтобы избежать подобной атаки рекомендуется предпринять такие защитные меры:

• Если устройство давно вышло из фазы обновлений разработчика, рациональнее сменить маршрутизатор на свежую современную модель;
• Обновить системную ОС и микрокод на доступных поддерживаемых моделях D-Link;
• Не оставлять пароль учетной записи заводского администрирования по умолчанию;
• Полностью отключить WAN-панель внешнего удаленного управления роутера в конфигурации устройства.