В Сети разворачивается кампания по созданию разведывательной и прокси-сети на основе ботнета, в который включаются заражённые устаревшие маршрутизаторы D-Link и Linksys, а также сетевые хранилища QNAP, сообщили эксперты в области кибербезопасности QiAnXin Xlab.
Источник изображения: Rohan / unspalsh.com
Чаще всего жертвами атаки оказываются устаревшие и снятые с поддержки маршрутизаторы, преимущественно модели Link и Linksys, которые работают на чипах Realtek RTL819X — эти устройства были популярны в период с 2012 по 2015 год. Злоумышленники эксплуатируют две столь же устаревшие уязвимости: CVE-2013-3307 в моделях Linksys и CVE-2016-5681 в моделях D-Link — они позволяют заражать устройства вирусом AryStinger.
AryStinger, по оценке исследователей, используется на этапах разведки и планирования более серьёзных кибератак. Заражённые устройства сканируют интернет, устанавливают доступные службы на серверах, составляют списки поддоменов, туннелируют трафик и выполняют команды по запросу, скрывая местоположение и личность операторов ботнета. Присутствие AryStinger на маршрутизаторе равносильно «невидимому подслушивающему устройству» и «трамплину для атаки» в той же сети, предупреждают эксперты.
К настоящему моменту вирусом AryStinger заражены около 4300 маршрутизаторов — это число не окончательное и будет расти; большинство жертв находится в Южной Корее (48%) и Китае (32%), упоминаются Малайзия, Сингапур и Швеция. AryStinger также производит атаки на сетевые хранилища QNAP, эксплуатируя уязвимость CVE-2025-11837, которая числится как исправленная в ноябре 2025 года; число заражённых NAS установить пока не удалось.
Не удалось идентифицировать и организаторов кампании. Чтобы установить факт заражения AryStinger, исследователи рекомендуют отслеживать журналы соединений с подконтрольными злоумышленникам доменами; а также следить за появлением в расположении «/tmp/bin» неопознанных бинарных файлов и процессов с именами syswapd0h или syswapd0w.