Новый ботнет AryStinger атакует старые роутеры и превращает их в прокси

Китайские ИБ-специалисты из XLab сообщили ^[1] об обнаружении азиатского ботнета AtyStinger. Пока что его успехи довольно скромны, однако «кормовая база» — потенциально необъятна.

Ботнет распространяется с одного IP-адреса 107.150.106.14, принадлежащего прокси-оператору Zenlayer Inc. в Лос-Анджелесе, однако в основном атакует устройства, географически расположенные в Азии (Китай и Южная Корея). Малварь не обнаруживается антивирусом и взламывает маршрутизаторы через две древние (2016 года) уязвимости — CVE-2013-3307, затрагивающую модели Linksys, и CVE-2016-5681, затрагивающую модели D-Link. Еще одна обнаруженная в апреле разновидность атакует также устаревшую уязвимость в сетевых устройствах хранения данных QNAP.

После успешного взлома устройства, в отличие от многих других ботнетов такого типа, не используются (пока что!) для DDoS-атак, а превращаются в прокси, которые могут сканировать интернет в поисках целей, выявлять уязвимые сервисы или точки входа, перечислять поддомены и туннелировать трафик, выполняя команды оператора. Вероятно, на текущий момент злоумышленники собирают базу зараженных устройств, а их истинные цели обнаружатся только потом.

Важный момент: так как уязвимые модели маршрутизаторов больше не поддерживаются производителем, то нет и никаких средств защиты против AtyStinger кроме мануального удаления малвари или замены.

С марта 2026 года AryStinger заразил как минимум 4300 роутеров, но на самом деле цифра может быть гораздо выше, так как по зараженным QNAP у XLab нет данных по техническим причинам. Учитывая, что устаревшие модели роутеров все еще работоспособны и, вероятно, установлены в десятках или даже сотнях тысяч домов в развивающихся странах, у AryStinger есть неплохие перспективы на будущее. Исследователи также отмечают, что есть признаки того, что малварь была создана при помощи «ИИ».