Een nieuwe malwarefamilie genaamd AryStinger infecteert minstens 4.300 verouderde routers om een gedistribueerd reconnaissance- en proxy-netwerk te creëren, in plaats van het gebruikelijke DDoS-botnet. Volgens het onderzoek van XLab van QiAnXin groeit het aantal geïnfecteerde apparaten nog steeds. AryStinger wordt ingezet in de voorbereidende fase van een aanval, waarbij geïnfecteerde routers het internet scannen, diensten fingerprinten, subdomeinen enumereren, verkeer tunnelen en opdrachten uitvoeren, waarna de resultaten teruggestuurd worden naar de aanvaller. Zo fungeren deze routers als footprinting nodes en relais om de echte locatie van de aanvaller te verbergen.

De malware richt zich op routers met Realtek RTL819X-chips, hardware die tussen 2012 en 2015 gangbaar was. De eerste detectie was op 12 maart 2026, verspreid vanaf één IP-adres. De malware maakt gebruik van twee oude kwetsbaarheden: CVE-2013-3307 in Linksys-modellen en CVE-2016-5681 in D-Link routers, waarbij de DIR-850L ongeveer 75 procent van de geïnfecteerde apparaten uitmaakt. Geografisch gezien zijn de meeste geïnfecteerde routers in Zuid-Korea (48 procent) en China (32 procent) te vinden, gevolgd door Zweden, Maleisië en Singapore.

Daarnaast is er een tweede variant van AryStinger die sinds april 2026 QNAP NAS-apparaten infecteert via een code-injectie kwetsbaarheid in QNAP's Malware Remover (CVE-2025-11837). Deze kwetsbaarheid was al gepatcht in november 2025, maanden voordat de malware deze begon te misbruiken. XLab heeft het aantal geïnfecteerde NAS-apparaten nog niet gemeten, waardoor de 4.300-infecties alleen betrekking hebben op de RTL819X-routers.

AryStinger kent twee builds: een lichte C-versie voor routers die zich beperkt tot DNS-scanning en traffic tunneling, en een uitgebreidere Go-versie voor NAS-apparaten die ook interne en externe netwerken scant en recon-tools uitvoert. De malware communiceert met het command-and-control (C2) netwerk via HTTP/HTTPS met Protobuf-gecodeerd verkeer, versleuteld met XOR en gzip. De operator verdeelt grote scans in kleinere taken die parallel worden uitgevoerd over het netwerk van geïnfecteerde apparaten. Voor persistente toegang draait er een Dropbear SSH-server op een vaste poort of gs-netcat op NAS, met een hardcoded sleutel die mogelijk op 2024 als startjaar duidt.

Deze aanpak sluit aan bij eerdere ontdekkingen van zogenaamde operational relay box networks (ORBs), waarbij verouderde routers en IoT-apparaten worden ingezet als moeilijk traceerbare relais voor spionage en scanning. AryStinger is nog niet aan een specifieke actor toe te schrijven, maar het model van vergeten hardware en oude kwetsbaarheden als stille infrastructuur voor de eerste fase van een penetratietest is duidelijk.

Gebruikers van de getroffen apparatuur wordt aangeraden te controleren op uitgaande verbindingen naar de C2- en downloaddomeinen van AryStinger (zoals ajb8.com), verdachte binaries in /tmp/bin en processen met namen als syswapd0h of syswapd0w. Een duurzame oplossing blijft het verwijderen of updaten van de kwetsbare apparaten.