Een nieuwe malwarefamilie verandert vergeten thuisrouters in een gedistribueerd verkennings- en proxynetwerk, en niet het DDoS-botnet waarin deze apparaten gewoonlijk terechtkomen. QiAnXin’s XLab noemt het AryStinger en telt minstens 4.300 geïnfecteerde routers, een totaal dat volgens hem nog steeds stijgt.
Het onderscheid is belangrijk. AryStinger bestaat voor de fase van een aanval die voorafgaat aan de inbraak. Geïnfecteerde apparaten scannen het internet, vingerafdrukservices, inventariseren subdomeinen, tunnelverkeer en voeren op verzoek opdrachten uit, en sturen de resultaten vervolgens terug naar de operator.
Elke router wordt een voetafdrukknooppunt en een relais dat verbergt waar de echte aanvaller zich bevindt.
Oude chips, oudere bugs
De campagne gaat achter routers aan die zijn gebouwd op de RTL819X-chips van Realtek, hardware die actueel was tussen 2012 en 2015. XLab zag het voor het eerst op 12 maart 2026 en verspreidde zich vanaf een enkel IP-adres, 107.150.106.14.
Het binaire bestand dat het pushte was een Linux ELF die door geen enkele engine op VirusTotal werd gemarkeerd, waarbij gebruik werd gemaakt van twee fouten uit een ander tijdperk: CVE-2013-3307 in Linksys-modellen en CVE-2016-5681 in D-Link-modellen.
De geïnfecteerde pool bestaat voornamelijk uit D-Link, waarbij de DIR-850L alleen al ongeveer 75 procent uitmaakt. Geografisch gezien neigt het naar Zuid-Korea (ongeveer 48 procent) en China (ongeveer 32 procent), daarna naar Zweden, Maleisië en Singapore.
Een tweede soort verscheen op 26 april, gericht op QNAP NAS-boxen via CVE-2025-11837, een code-injectiefout in QNAP’s Malware Remover. De bug werd getoond op Pwn2Own Ireland 2025 en gepatcht in november 2025, maanden voordat deze soort hem begon te gebruiken.
De toegang is het eigen hulpprogramma voor het verwijderen van malware van het apparaat. XLab heeft de NAS-infecties niet gemeten, dus het cijfer van 4.300 betreft alleen RTL819X-routers.
Twee builds, hetzelfde werk
De ene is mager en de andere is voller. De router-build is geschreven in C en licht gehouden, omdat de oude hardware niet meer aankan, dus blijft het bij massale DNS-scans en verkeerstunneling. De NAS-build is geschreven in Go en doet nog veel meer. Het scant interne en externe netwerken en voert verkenningstools uit zoals fscan, ksubdomain en httpx. Een “ScriptWork”-taak voert de door de aanvaller aangeleverde Go-, Java- of Python-broncode uit op de box, zodat de operator nooit een binair bestand per doel hoeft te compileren.
Elk geïnfecteerd knooppunt, dat door XLab een Executor wordt genoemd, praat met zijn C2 via HTTP/HTTPS, waarbij het met Protobuf gecodeerde verkeer wordt verduisterd door een eenvoudige XOR (de Go-build voegt gzip toe). De operator splitst een grote scan op in stukjes en verspreidt deze over de vloot, waarbij de footprint parallel wordt vastgelegd.
XLab zegt dat dezelfde DNS-scan kan worden gericht op oplossers om denial-of-service-verkeer te genereren. Persistentie komt van een Dropbear SSH-server op een vaste poort, 2332 op routers, of gs-netcat op NAS. De hardgecodeerde sleutel, sh_#@!_2024_secret, bevat een “2024” die kan wijzen op een start in 2024, hoewel XLab dit niet kan bevestigen.
Waar dit past
De vorm is bekend. In mei 2025 hebben de FBI en het ministerie van Justitie de 5socks- en Anyproxy-diensten afgebroken, waardoor jaren oude Linksys- en Cisco-routers met TheMoon-malware waren veranderd in residentiële proxy’s die per maand werden verkocht. De spionageversie ziet er vrijwel hetzelfde uit.
Mandiant heeft operationele relay box-netwerken (ORB’s) gevolgd: een netwerk van gecompromitteerde routers en IoT die aan het einde van hun levensduur zijn en die statelijke actoren gebruiken om te scannen en door te geven, terwijl ze moeilijk te traceren blijven. Recente router-ORB’s zoals LapDogs farm-apparaten door middel van n-day bugs zoals AryStinger dat doet.
AryStinger is nog aan niemand gekoppeld en XLab zegt dat het nog steeds bezig is met wie erachter zit. Wat wel duidelijk is, is het model: vergeten hardware, oude CVE’s, omgezet in stille infrastructuur voor de openingsbewegingen van een inbraak.
Wat te doen
Als u een van de betrokken uitrustingen gebruikt, zijn de controles eenvoudig. Zoek naar uitgaande verbindingen met de C2- en downloaddomeinen van AryStinger (de ajb8.com en gerelateerde hosts in de IOC-lijst van XLab), controleer /tmp/bin op binaire bestanden die u daar niet hebt geplaatst, en zoek naar processen met de naam syswapd0h of syswapd0w.
De duurzame oplossing is degene die iedereen blijft herhalen: verwijder routers die het einde van hun levensduur hebben en die geen firmware meer krijgen, en schakel extern beheer uit voor alles wat zichtbaar is. Een doos die in 2016 geen patches meer kreeg, gaat nu niet meer starten.
