AryStinger botnet

Editors' Pick

A QiAnXin XLab kutatói egy új IoT botnetet azonosítottak AryStinger néven, amely több mint 4000, 2012–2015 között gyártott, Realtek RTL819X chipsetes régi routert kompromittált világszerte. A botnet nem hagyományos DDoS- vagy kriptobányászati célokat szolgál, hanem felderítési és támadást előkészítő infrastruktúrát biztosít. A támadók több mint egy évtizede ismert sérülékenységeket – CVE-2013-3307 (Linksys) és CVE-2016-5681 (D-Link) – használnak ki a kezdeti hozzáférés megszerzésére, majd a fertőzött eszközöket portszkennelésre, szolgáltatás-felderítésre, aldomain-azonosításra és célpontok feltérképezésére alkalmazzák. 

A kutatók egy későbbi, Go nyelven írt változatot is azonosítottak, amely CVE-2025-11837 kihasználásával NAS-eszközöket támadott, és a forráskód alapján az Ary-Attack projekthez köthető. A botnet C2 infrastruktúrája dinamikusan frissíthető, támogatja a moduláris bővítéseket és proxyként használja a kompromittált routereket, megnehezítve a támadók valódi eredetének felderítését. 

A régi, EOL, vagy támogatásból kikerült hálózati eszközökből nem pusztán DDoS-botneteket, hanem globális felderítési és támadási ugródeszkákat építenek ki, amelyek később célzott behatolási műveletek előkészítésére szolgálnak.

FORRÁS