Documentata una botnet che ha già compromesso oltre quattromila router SOHO, trasformati in esecutori distribuiti per attività di ricognizione, tunneling e proxying.
Autore: Redazione SecurityOpenLab
Una serie di router D-Link e Linksys basati sul chip RTL819X è al centro di una nuova campagna malevola sfociata nella botnet AryStinger. I dispositivi compromessi sono oltre 4.300 e sono stati trasformati a insaputa dei proprietari in un'infrastruttura distribuita utilizzata per attività di ricognizione pre-intrusione, proxying del traffico e tunneling. La scoperta è opera dei ricercatori di XLab. I dispositivi colpiti sono di categoria SOHO, presenti in abitazioni e piccoli uffici, e non ricevono aggiornamenti firmware da anni. Questo li ha resi vulnerabili alle falle CVE-2013-3307 e CVE-2016-5681, che gli attaccanti hanno sfruttato per comprometterli. Una seconda variante del malware, scritta in linguaggio di programmazione Go e rivolta ai dispositivi NAS, è stata individuata successivamente e sfrutta la vulnerabilità CVE-2025-11837. Secondo i dati telemetrici raccolti dai ricercatori le infezioni sono concentrate in Asia orientale, tuttavia la natura stessa della botnet rende i dispositivi compromessi uno strumento potenzialmente utilizzabile contro bersagli in qualsiasi parte del mondo.
A distinguere AryStinger dalle botnet tradizionali è lo scopo primario: costruire un cluster infrastrutturale per le attività di footprinting nella fase pre-intrusione, con capacità di port scanning, identificazione dei servizi esposti ed enumerazione dei sottodomini. In altri termini, chi controlla la botnet non la usa direttamente per colpire, ma per preparare con precisione attacchi successivi contro obiettivi terzi. Ogni nodo infetto viene definito Executor e il server di comando e controllo può suddividere un task di scansione in sottoinsiemi più piccoli e distribuirli in parallelo a diversi Executor, realizzando di fatto un'architettura di scansione distribuita capace di coprire enormi spazi di indirizzamento in tempi ridotti. I ricercatori hanno osservato, per esempio, attività di bruteforce su sottodomini di un dominio principale, suddividendo i vari nodi di modo che ciascun coprisse circa il 12% dello spazio di scansione. La comunicazione con i server avviene via HTTP/HTTPS e il traffico di rete è cifrato.
AryStinger si articola in due varianti distinte. I modelli D-Link DIR-850L e D-Link DIR-818LW, la cui diffusione commerciale era concentrata tra il 2012 e il 2015, venivano attaccanti con un malware che collezionava indirizzo MAC, nome del dispositivo, IP pubblico e interno, versione del sistema operativo, architettura CPU e timestamp e assegnava al bot installato in ciascuno un Executor ID univoco, da usare poi come credenziale per tutti i task successivi.
La versione Standard per NAS espandeva notevolmente le capacità offensive, includendo anche strumenti di penetration testing open-source e il supporto per l'esecuzione remota di comandi e payload.
I ricercatori hanno individuato tre tipologie di impatto per le organizzazioni i cui router sono stati compromessi. La prima è il furto di dati: il malware può monitorare tutto il traffico in entrata e in uscita, sottraendo informazioni sensibili senza che l'utente ne abbia percezione. La seconda è il dirottamento: AryStinger può modificare le impostazioni DNS del router, reindirizzando gli utenti verso siti di phishing, pagine di download di malware o altri contenuti malevoli. La terza è l'uso del dispositivo per attacchi esterni: il router compromesso può essere utilizzato per lanciare scansioni, attività di penetrazione, attacchi DDoS o per diffondere malware verso target globali, rendendo estremamente difficile risalire alla vera sorgente dell'attacco. Inoltre, i ricercatori segnalano che l'infrastruttura DNS distribuita di AryStinger potrebbe essere riutilizzata per generare volumi massivi di query verso resolver DNS, configurando di fatto attacchi DDoS a livello DNS, sebbene non siano stati osservati attacchi di questo tipo nel periodo di analisi.
XLab non ha attribuito AryStinger a nessun cluster di attività noto. I ricercatori dichiarano esplicitamente che molti aspetti della campagna rimangono irrisolti. Per rilevare un'eventuale compromissione, XLab raccomanda di verificare la presenza di comunicazioni verso i domini elencati negli Indicatori di Compromissione pubblicati; l'esistenza di file malevoli nella directory /tmp/bin del dispositivo; la presenza dei processi syswapd0h o syswapd0w in esecuzione. Ovviamente il consiglio prioritario è la sostituzione dei router end-of-life con modelli attivamente supportati dal produttore.