Una nueva familia de malware está convirtiendo los enrutadores domésticos olvidados en redes distribuidas de reconocimiento y proxy en lugar de las botnets DDoS a las que estos dispositivos suelen ser propensos. XLab de QiAnXin lo llama AryStinger y dice que cuenta con al menos 4.300 enrutadores infectados, y que el total sigue creciendo.
La distinción es importante. AryStinger existe en la etapa previa al ataque de intrusión. Los dispositivos infectados escanean Internet, toman huellas dactilares, enumeran subdominios, canalizan el tráfico, ejecutan comandos a pedido y envían los resultados al operador.
Cada enrutador se convierte en un nodo de huella, un relé que oculta la ubicación del atacante real.
chips viejos, errores viejos
La campaña rastrea enrutadores construidos con el chip RTL819X de Realtek, hardware que era más nuevo entre 2012 y 2015. XLab observó por primera vez este ataque el 12 de marzo de 2026, propagándose desde una única IP 107.150.106.14.
Los binarios enviados explotaron dos fallas de diferentes épocas (CVE-2013-3307 en los modelos Linksys y CVE-2016-5681 en los modelos D-Link) en Linux ELF que no fueron señaladas por ninguno de los motores de VirusTotal.
La mayoría de los pools infectados son D-Link, y el DIR-850L por sí solo representa aproximadamente el 75%. Geográficamente, está sesgado hacia Corea del Sur (alrededor del 48 por ciento) y China (alrededor del 32 por ciento), seguidos por Suecia, Malasia y Singapur.
La segunda cepa surgió el 26 de abril y apuntó a las cajas NAS de QNAP a través de CVE-2025-11837, una falla de inyección de código en Malware Remover de QNAP. Este error quedó expuesto en Pwn2Own Ireland 2025 y se corrigió en noviembre de 2025, varios meses antes de que esta acción comenzara a usarlo.
El medio de intrusión es la propia herramienta de eliminación de malware del dispositivo. XLab no mide las infecciones de NAS, por lo que el número 4300 es solo para enrutadores RTL819X.
Dos construcciones, el mismo trabajo
Una construcción es más sencilla y la otra más sustancial. La construcción del enrutador está escrita en C para que sea liviana. Estamos atascados con un análisis DNS exhaustivo y un túnel de tráfico porque no podemos hacer mucho más con hardware antiguo. La compilación del NAS está escrita en Go y tiene aún más funciones. Escanee redes internas y externas y ejecute herramientas de reconocimiento como fscan, ksubdomain y httpx. La tarea «ScriptWork» ejecuta código fuente Go, Java o Python proporcionado por el atacante en la caja, eliminando la necesidad de que los operadores compilen archivos binarios para cada objetivo.
Cada nodo infectado, que XLab llama Ejecutor, se comunica con el C2 a través de HTTP/HTTPS utilizando tráfico codificado en Protobuf ofuscado por XOR simple (las compilaciones Go agregan gzip). Los operadores dividen los escaneos grandes en partes, los distribuyen entre la flota y ejecutan huellas en paralelo.
XLab dice que el mismo análisis de DNS puede generar tráfico de denegación de servicio dirigido a los solucionadores. La persistencia se obtiene del servidor SSH de Dropbear en un puerto fijo, 2332 en el enrutador o gs-netcat en el NAS. La clave codificada sh_#@!_2024_secret contiene «2024», que podría indicar el inicio de 2024, pero XLab no puede confirmarlo.
Donde esto aplica
La forma me resulta familiar. En mayo de 2025, el FBI y el Departamento de Justicia retiraron los servicios 5socks y Anyproxy que habían convertido enrutadores Linksys y Cisco de años de antigüedad que ejecutaban el malware TheMoon en servidores proxy residenciales vendidos ese mes. La versión espía tiene casi el mismo aspecto.
Mandiant rastreó una red de cajas de retransmisión (ORB) operativa. Los ORB son una malla de enrutadores comprometidos al final de su vida útil e IoT que los actores de los estados-nación utilizan para escanear y transmitir, lo que dificulta su seguimiento. Los ORB de enrutadores modernos, como el dispositivo de granja LapDogs, evitan el error de n días, al igual que AryStinger.
AryStinger aún no ha sido identificado por nadie y XLab dice que todavía está investigando quién estaba detrás de esto. Lo que está claro es el modelo. Una pieza de hardware olvidada, un antiguo CVE, se ha transformado en una infraestructura silenciosa para el ataque inicial.
que hacer
Si está utilizando alguna de las marchas afectadas, la comprobación es sencilla. Busque las conexiones salientes de AryStinger a C2 y descargue los dominios (ajb8.com y hosts relacionados en la lista IOC de XLab), verifique /tmp/bin para ver si hay archivos binarios que no haya colocado allí y busque procesos llamados syswapd0h o syswapd0w.
Una solución permanente es algo que todo el mundo repite. Retire los enrutadores al final de su vida útil que ya no tengan firmware disponible y desactive la administración remota para los que estén disponibles públicamente. Las cajas que dejaron de recibir parches en 2016 ya no comenzarán a recibir parches.
Source link
