В Сети разворачивается кампания по созданию разведывательной и прокси-сети на основе ботнета, в который включаются заражённые устаревшие маршрутизаторы D-Link и Linksys, а также сетевые хранилища QNAP, сообщили эксперты в области кибербезопасности QiAnXin Xlab.

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

Обзор Ryzen 9 9950X3D2: правильный 16-ядерник с 3D-кешем

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

72 полёта над Марсом: как Ingenuity пережил зиму, сбои и собственную миссию

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

Ryzen и DDR5-6000 на чипах Samsung — G.Skill даёт добро

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

Выбираем лучший игровой ноутбук до 100 000 рублей: сравнительное тестирование 7 интересных моделей

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

Обзор Intel Core Ultra 5 250K Plus, или Как Arrow Lake превратился в «топ за свои деньги»

Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP

Чаще всего жертвами атаки оказываются устаревшие и снятые с поддержки маршрутизаторы, преимущественно модели Link и Linksys, которые работают на чипах Realtek RTL819X — эти устройства были популярны в период с 2012 по 2015 год. Злоумышленники эксплуатируют две столь же устаревшие уязвимости: CVE-2013-3307 в моделях Linksys и CVE-2016-5681 в моделях D-Link — они позволяют заражать устройства вирусом AryStinger.

AryStinger, по оценке исследователей, используется на этапах разведки и планирования более серьёзных кибератак. Заражённые устройства сканируют интернет, устанавливают доступные службы на серверах, составляют списки поддоменов, туннелируют трафик и выполняют команды по запросу, скрывая местоположение и личность операторов ботнета. Присутствие AryStinger на маршрутизаторе равносильно «невидимому подслушивающему устройству» и «трамплину для атаки» в той же сети, предупреждают эксперты.

К настоящему моменту вирусом AryStinger заражены около 4300 маршрутизаторов — это число не окончательное и будет расти; большинство жертв находится в Южной Корее (48%) и Китае (32%), упоминаются Малайзия, Сингапур и Швеция. AryStinger также производит атаки на сетевые хранилища QNAP, эксплуатируя уязвимость CVE-2025-11837, которая числится как исправленная в ноябре 2025 года; число заражённых NAS установить пока не удалось.

Не удалось идентифицировать и организаторов кампании. Чтобы установить факт заражения AryStinger, исследователи рекомендуют отслеживать журналы соединений с подконтрольными злоумышленникам доменами; а также следить за появлением в расположении «/tmp/bin» неопознанных бинарных файлов и процессов с именами syswapd0h или syswapd0w.