
AryStinger 恶意软件感染 4,300 台旧路由器,建起侦察代理网络
QiAnXin 的 XLab 发现 AryStinger 正把旧家用路由器和部分 NAS 变成分布式侦察与代理网络,已感染至少 4,300 台路由器。该恶意软件利用旧漏洞执行扫描、隧道转发和远程命令,借此隐藏真实攻击者位置。
一种新的 malware family 正在把被遗忘的家用路由器变成分布式侦察和 proxy network,而不是这些设备通常最终沦为的 DDoS botnet。QiAnXin 的 XLab 将其命名为 AryStinger,并统计至少有 4,300 台被感染的路由器,而且这个数字还在持续上升。
这个区别很重要。AryStinger 存在于入侵之前的攻击阶段。被感染的设备会扫描 internet、fingerprint services、enumerate subdomains、tunnel traffic,并按需运行命令,然后把结果发送回 operator。
每台路由器都会变成一个 footprinting node 和一个 relay,用来隐藏真正攻击者的位置。
旧芯片,更旧的 bug
这次 campaign 针对的是基于 Realtek 的 RTL819X 芯片构建的路由器,这类硬件大约在 2012 到 2015 年间是主流。XLab 最早在 2026-03-12 看到它,当时它从单一 IP 107.150.106.14 开始传播。
它投放的 binary 是一个 Linux ELF,VirusTotal 上没有任何 engine 标记它,利用了另一个年代的两个漏洞:Linksys 型号中的 CVE-2013-3307,以及 D-Link 设备中的 CVE-2016-5681。
被感染的设备中,D-Link 占大多数,单是 DIR-850L 就约占 75 percent。从地理分布看,韩国约占 48 percent,中国约占 32 percent,之后是瑞典、马来西亚和新加坡。
第二个 strain 在 4 月 26 日出现,目标是通过 CVE-2025-11837 攻击 QNAP NAS 设备,这个漏洞是 QNAP 的 Malware Remover 中的 code injection flaw。这个 bug 已在 Pwn2Own Ireland 2025 上被展示,并于 2025 年 11 月打了补丁,比这个 strain 开始利用它早了几个月。
入侵方式是设备自带的 malware-removal tool。XLab 还没有测量 NAS 感染数量,所以 4,300 这个数字只涵盖 RTL819X 路由器。
两个 build,做同一件事
一个 build 更精简,另一个更完整。路由器 build 用 C 编写,并保持轻量,因为旧硬件跑不了更多东西,所以它只做大规模 DNS scanning 和 traffic tunneling。NAS build 用 Go 编写,功能多得多。它会扫描 internal 和 external networks,并运行像 fscan、ksubdomain 和 httpx 这样的 recon tools。一个名为 “ScriptWork” 的任务会在设备上执行攻击者提供的 Go、Java 或 Python source code,因此 operator 不必为每个 target 单独编译 binary。
每个被感染的 node,XLab 称之为 Executor,会通过 HTTP/HTTPS 与它的 C2 通信,Protobuf-encoded traffic 由简单的 XOR 混淆处理(Go build 还会加入 gzip)。operator 会把大规模 scan 拆成多个 chunk,并分发到整个 fleet 上,进行并行 footprinting。
XLab 表示,同样的 DNS scanning 也可以针对 resolver 发起,从而制造 denial-of-service traffic。持久化则来自固定端口上的 Dropbear SSH server,路由器上是 2332,NAS 上则是 gs-netcat。硬编码的 key sh_#@!_2024_secret 带有 “2024”,可能指向 2024 年的启动时间,但 XLab 不能确认这一点。
它在这里处于什么位置
这个形态很熟悉。2025 年 5 月,FBI 和 Justice Department 捣毁了 5socks 和 Anyproxy services,它们把运行 TheMoon malware、已有多年历史的 Linksys 和 Cisco routers 变成按月出售的 residential proxies。这个 espionage 版本看起来很相似。
Mandiant 一直在跟踪 operational relay box networks,或 ORBs:由被入侵的 end-of-life routers 和 IoT 设备组成的 mesh,state actors 用它们来扫描和转发,同时保持难以追踪。像 LapDogs 这样的近期 router ORBs,也在通过 n-day bugs 批量获取设备,方式与 AryStinger 很像。
AryStinger 目前还没有被确认归属于任何一方,XLab 说他们仍在研究背后是谁。清楚的是这个模式:被遗忘的硬件、古老的 CVEs,被改造成入侵开场动作所需的安静基础设施。
该怎么做
如果你在运行任何受影响的设备,检查其实很简单。留意到 AryStinger 的 C2 和 download domains 的 outbound connections(XLab 的 IOC list 里的 ajb8.com 和相关 hosts),检查 /tmp/bin 里有没有你没放进去的 binaries,并查看是否有名为 syswapd0h 或 syswapd0w 的 processes。
最持久的修复办法还是大家一直重复的那一个:退役不再获得 firmware 的 end-of-life routers,并关闭任何暴露在外的设备上的 remote administration。一个在 2016 年就停止打补丁的 box,现在也不会突然开始。