AryStinger: Malware transforma routers obsoletos en red de espionaje
Publicado el
AryStinger: Una nueva amenaza para routers obsoletos
Un nuevo tipo de malware, conocido como AryStinger, está convirtiendo routers domésticos olvidados en una red de proxy y reconocimiento distribuido. Según QiAnXin's XLab, al menos 4,300 routers han sido infectados, cifra que continúa en aumento. Este malware no se limita a formar una botnet DDoS como suele ocurrir con estos dispositivos, sino que se enfoca en la fase previa a un ataque.
Los routers infectados llevan a cabo tareas como escanear internet, identificar servicios, enumerar subdominios y ejecutar comandos a demanda, enviando los resultados de vuelta al operador. Cada router afectado se convierte en un nodo de footprinting y un relé que oculta la verdadera ubicación del atacante.
¿Cómo se propaga AryStinger?
El malware apunta a routers equipados con chips RTL819X de Realtek, que eran comunes entre 2012 y 2015. La primera detección se produjo el 12 de marzo de 2026, comenzando desde una única dirección IP: 107.150.106.14. El binario utilizado es un Linux ELF que no fue detectado por ningún motor en VirusTotal, aprovechando dos vulnerabilidades antiguas: CVE-2013-3307 en modelos de Linksys y CVE-2016-5681 en dispositivos de D-Link. La mayoría de los routers afectados son de la marca D-Link, con el modelo DIR-850L representando aproximadamente el 75% de las infecciones. Geográficamente, las infecciones son predominantes en Corea del Sur (48%) y China (32%), seguidas de Suecia, Malasia y Singapur.
Una segunda variante del malware se identificó el 26 de abril, dirigida a QNAP NAS mediante la explotación de CVE-2025-11837, una vulnerabilidad de inyección de código en la herramienta de eliminación de malware de QNAP, mostrada en Pwn2Own Irlanda 2025 y parcheada en noviembre de 2025, meses antes de que esta variante comenzara a utilizarla.
Dos versiones, mismo objetivo
Existen dos builds del malware: uno para routers y otro para NAS. La versión destinada a routers está escrita en C y es ligera, debido a las limitaciones del hardware antiguo, enfocándose en el escaneo de DNS y el tunneling de tráfico. La build para NAS, escrita en Go, realiza funciones más complejas, escaneando redes internas y externas mientras ejecuta herramientas de reconocimiento como fscan, ksubdomain y httpx. Además, permite la ejecución de código proporcionado por el atacante en el dispositivo.
Cada nodo infectado, denominado por XLab como Executor, se comunica con su C2 (servidor de comando y control) a través de HTTP/HTTPS, utilizando tráfico codificado con Protobuf y ofuscado mediante un simple XOR. El operador puede dividir un gran escaneo en partes más pequeñas y distribuirlas entre los nodos, lo que permite realizar el footprinting de manera paralela. XLab menciona que el mismo escaneo de DNS puede ser utilizado para generar tráfico de denegación de servicio.
La persistencia se mantiene mediante un servidor SSH Dropbear en un puerto fijo (2332 en routers) o gs-netcat en NAS. La clave codificada, sh_#@!_2024_secret, sugiere un inicio en 2024, aunque XLab no puede confirmarlo.
Contexto y recomendaciones
El patrón de ataque es similar a incidentes previos. En mayo de 2025, el FBI y el Departamento de Justicia desmantelaron los servicios 5socks y Anyproxy, que habían convertido routers antiguos en proxies residenciales. AryStinger se asemeja a estos enfoques, utilizando hardware olvidado y vulnerabilidades antiguas para crear infraestructura que facilite los primeros pasos de una intrusión.
Para mitigar el riesgo, los administradores de dispositivos afectados deben comprobar conexiones salientes hacia los dominios de C2 de AryStinger y buscar binarios no autorizados en /tmp/bin. La solución a largo plazo es clara: reemplazar los routers obsoletos que ya no reciben actualizaciones y desactivar la administración remota en dispositivos expuestos. Un router que dejó de recibir parches en 2016 no empezará a recibirlos nuevamente.