AryStinger : Un réseau proxy détournant des routeurs obsolètes

Le malware AryStinger infecte actuellement plus de 4 300 routeurs obsolètes (principalement équipés de puces Realtek RTL819X) pour constituer un réseau de reconnaissance et de proxy distribué. Contrairement aux botnets classiques destinés aux attaques DDoS, AryStinger est conçu pour servir d’infrastructure furtive permettant de scanner Internet, d’énumérer des sous-domaines et de relayer le trafic d’attaquants, facilitant ainsi les phases préliminaires d’intrusion.

Points clés :

• Cibles : Routeurs en fin de vie (notamment D-Link DIR-850L) et périphériques NAS QNAP.
• Fonctionnement : Les appareils infectés communiquent avec un serveur de commande et contrôle (C2) via HTTP/HTTPS. Le malware exécute des outils de reconnaissance (fscan, ksubdomain, etc.) ou des scripts personnalisés.
• Persistance : Utilisation de services SSH (Dropbear) ou de gs-netcat sur des ports spécifiques.
• Répartition géographique : Principalement en Corée du Sud et en Chine.

Vulnérabilités exploitées :

• CVE-2013-3307 : Vulnérabilité historique sur les routeurs Linksys.
• CVE-2016-5681 : Vulnérabilité sur les équipements D-Link.
• CVE-2025-11837 : Faille d’injection de code dans l’outil « Malware Remover » des NAS QNAP.

Recommandations :

• Retrait des équipements : Remplacer les routeurs obsolètes ne recevant plus de mises à jour de sécurité.
• Durcissement : Désactiver l’administration à distance sur tous les périphériques exposés.
• Détection :
  • Surveiller les connexions sortantes vers les domaines C2 connus.
  • Inspecter le répertoire /tmp/bin à la recherche de fichiers suspects.
  • Vérifier la présence de processus nommés syswapd0h ou syswapd0w.

Source