Het AryStinger botnet heeft wereldwijd duizenden verouderde D-Link routers geïnfecteerd en gebruikt deze als proxies voor kwaadaardig verkeer. Onderzoekers van het XLab threat intelligence team van Qianxin melden dat de malware geïnfecteerde apparaten omzet in op afstand bestuurbare “executors” die kunnen scannen, proxyen, tunnelen en commando’s uitvoeren namens de aanvaller. Volgens de onderzoekers kan de aanvaller grote scanopdrachten opsplitsen in kleinere delen en deze parallel laten uitvoeren, wat de efficiëntie en succesratio van latere inbraakactiviteiten verhoogt aldus XLab.

Naast het inzetten van geïnfecteerde routers voor kwaadaardige operaties waarschuwt XLab dat de malware ook DNS-instellingen kan manipuleren, waardoor de browse-ervaring wordt gekaapt en het netwerkverkeer stilletjes kan worden gemonitord en mogelijk gestolen. AryStinger maakt gebruik van oudere kwetsbaarheden zoals CVE-2013-3307, CVE-2016-5681 en CVE-2025-11837 en richt zich vooral op D-Link DIR-850L en DIR-818LW routers. Deze modellen waren eerder doelwit van het AVrecon botnet, dat in 2023 werd verstoord door Lumen zoals eerder gemeld.

De infecties zijn vooral geconcentreerd in Zuid-Korea (48,5%), gevolgd door China (31,8%), Zweden (6,4%), Maleisië (3,5%) en Singapore (2,5%). Er zijn twee varianten van AryStinger ontdekt: een C-gebaseerde versie die vooral verouderde routers aanvalt, en een Go-gebaseerde variant die zich richt op NAS-systemen, maar momenteel een veel beperktere verspreiding kent. De NAS-variant is geavanceerder en beschikt over extra functies zoals IP- en DNS-scanning, commando- en payload-uitvoering en interne netwerkverkenning via open-source pentesttools.

De onderzoekers merken op dat de gedistribueerde DNS-scanning infrastructuur van AryStinger mogelijk kan worden misbruikt om grote hoeveelheden DNS-verzoeken te genereren, hoewel zij dergelijke aanvallen nog niet hebben waargenomen. De NAS-variant ondersteunt het uitvoeren van Shell-commando’s en broncode in Go, Java en Python, maar het gebruik van broncode in plaats van gecompileerde binaries kent beperkingen vanwege de benodigde runtime-omgevingen en het risico op detectie. De herkomst van AryStinger is nog onduidelijk, en veel aspecten van de malware blijven onbekend.

Eigenaren van routers die het einde van hun levenscyclus hebben bereikt, wordt geadviseerd deze te vervangen door nieuwere modellen met actieve ondersteuning, de laatste firmware-updates te installeren, het standaardwachtwoord van het beheerdersaccount te wijzigen en de externe beheerfuncties uit te schakelen. Voor een effectieve verdediging is het van belang om alle beveiligingslagen te testen voordat aanvallers dat doen zoals aanbevolen in de whitepaper van Picus.