DeafNews
// 1 CRITICAL · 2 CVE · 2 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Cybersecurity

AryStinger: 4.000 router D-Link in un botnet globale

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Il botnet AryStinger ha compromesso oltre 4.000 router D-Link obsoleti trasformandoli in proxy per traffico malevolo con capacità di scansione distribuita e

Il 21 giugno 2026 i ricercatori di Qianxin XLab hanno reso pubblica la scoperta di AryStinger, un botnet precedentemente non documentato che ha compromesso oltre 4.000 router D-Link fuori supporto. L'operazione dimostra che la fine del ciclo di vita dei dispositivi non arresta la minaccia: anzi, crea un bacino di infrastruttura de facto a disposizione di operatori criminali.

Punti chiave
  • Oltre 4.000 router D-Link DIR-850L e DIR-818LW compromessi, secondo i dati di telemetria di Qianxin XLab
  • Il botnet sfrutta tre vulnerabilità — CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837 — su firmware obsoleti mai più aggiornati
  • L'architettura "Executor" parallelizza il footprinting distribuito suddividendo i task di scansione in chunk
  • Corea del Sud e Cina concentrano l'80,3% delle infezioni; la distribuzione geografica non risulta uniforme

Come AryStinger costruisce la propria infrastruttura

I ricercatori di Qianxin XLab hanno identificato due varianti del malware. Una scritta in C prende di mira principalmente i router D-Link DIR-850L e DIR-818LW, entrambi end-of-life. Una seconda variante, sviluppata in Go, è progettata per sistemi NAS e integra strumenti open-source di penetration testing. La fonte non specifica l'entità della diffusione della variante NAS né i modelli esatti colpiti.

Il vettore di accesso sfrutta tre vulnerabilità: CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837. La prima risale a tredici anni fa, la seconda a dieci, la terza è dell'anno in corso. Questo mix indica una strategia che non dipende dalla novità delle falle ma dalla certezza che i dispositivi EoL non riceveranno mai patch. I modelli DIR-850L e DIR-818LW erano già stati target del botnet AVrecon, smantellato da Lumen nel 2023.

Una volta insediato, il malware eleva il dispositivo a nodo proxy con funzionalità di tunneling, esecuzione comandi, manipolazione DNS e monitoraggio del traffico. La capacità di alterare le impostazioni DNS consente di dirottare la navigazione degli utenti. Il monitoraggio del traffico in entrata e in uscita espone potenzialmente ogni comunicazione che transita dal router.

L'architettura "Executor" e il modello di scansione distribuita

Il componente distintivo di AryStinger è il design denominato "Executor". Il sistema suddivide un task di scansione su larga scala in multipli chunk minori e li distribuisce a differenti Executor per esecuzione parallela.

"The attacker can split a massive scanning task into multiple small chunks and distribute them to different Executors for parallel execution" — Qianxin XLab researchers (via BleepingComputer)

Secondo i ricercatori, questo design distribuito "fornisce forte garanzia per la fluidità e il tasso di successo delle operazioni di intrusione successive". La citazione si riferisce alle attività di footprinting iniziali: il botnet non si limita a compromettere, ma prepara il terreno per intrusioni a valle attraverso ricognizione sistematica e parallelizzata.

La fonte non specifica chi acquisti o utilizzi questa infrastruttura proxy, né quali siano gli obiettivi finali del traffico tunnelato. Non emergono sovrapposizioni infrastrutturali che colleghino gli operatori di AryStinger a cluster di minaccia noti al momento attuale.

La geografia delle infezioni e il profilo dei dispositivi

La distribuzione geografica delle infezioni è concentrata. Secondo i dati di telemetria Qianxin, quasi la metà delle infezioni — 48,5% — si trova in Corea del Sud. La Cina segue con il 31,8%. Svezia, Malaysia e Singapore completano il quadro con rispettivamente 6,4%, 3,5% e 2,5%. Il dossier non chiarisce se questa concentrazione rifletta prevalenza di modelli specifici, dinamiche di mercato o scelte deliberative degli operatori del botnet.

Il profilo dei dispositivi — router SOHO e piccole imprese — indica che la superficie di attacco non è costituita da infrastrutture critiche ma da endpoint di connettività domestica e professionale leggera. Questi dispositivi tipicamente mancano di team di sicurezza dedicati, di monitoraggio continuativo e di procedure di sostituzione programmata. La loro compromissione crea però un danno a valle: ogni traffico che transita diventa potenzialmente osservabile, e il router compromesso può essere riutilizzato come piattaforma per attacchi a obiettivi ulteriori.

Cosa fare adesso

Gli utenti con router D-Link DIR-850L o DIR-818LW devono considerare questi dispositivi non più sicuri per il traffico sensibile. La sostituzione con hardware supportato dal vendor è l'unica contromisura definitiva, dato che i modelli sono end-of-life e non ricevono aggiornamenti firmware.

Per chi non possa sostituire immediatamente il dispositivo, la segmentazione della rete riduce l'esposizione: isolare il router EoL in una subnet separata dai sistemi che gestiscono dati sensibili o operazioni finanziarie. Il monitoraggio del traffico DNS in uscita dal router permette di rilevare anomalie: query ricorrenti verso domini non riconducibili ai servizi abituali possono segnalare manipolazione delle impostazioni.

Le organizzazioni con parco dispositivi eterogeneo devono identificare attivamente i modelli EoL nell'inventario di rete. L'incidente AryStinger dimostra che la vulnerabilità CVE-2013-3307, nota da tredici anni, resta praticamente sfruttabile su hardware non aggiornato. La presenza di CVE-2025-11837 nel mix di falle utilizzate indica che gli operatori integrano anche vulnerabilità più recenti quando disponibili, rendendo ancora più urgente la rimozione di dispositivi fuori supporto.

Per i provider di connettività nelle regioni più colpite — Corea del Sud e Cina in particolare — il traffico anomalo in uscita dai router SOHO clienti merita attenzione. Pattern di scansione distribuita o tunneling verso endpoint non canonici possono riflettere partecipazione involontaria al botnet.

Domande aperte e limiti del report

Restano interrogativi fondamentali senza risposta nel report XLab. Il dossier non specifica la data esatta di inizio delle operazioni, l'identità degli operatori, l'obiettivo finale del traffico proxy, lo stato attuale delle infezioni, né l'esistenza di campagne DDoS o altri abusi della infrastruttura. Secondo i ricercatori stessi, "many mysteries surrounding AryStinger remain to be solved".

Sul versante della variante NAS, la fonte non chiarisce quanti dispositivi siano coinvolti né quali brand o modelli siano specificamente bersagliati. L'integrazione di strumenti open-source di penetration testing nella variante Go indica comunque un livello di sofisticazione superiore rispetto alla sola botnet di router.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Letture correlate

  • GhostTree: l'attacco NTFS che blocca gli EDR
  • FortiBleed: 74mila credenziali Fortinet esposte, CISA ordina azione
  • Attack surface 2026: il 42% delle aziende ha database esposti su Internet

Fonti

Fonti e riferimenti
  1. bleepingcomputer.com
  2. cisa.gov
  3. nvd.nist.gov