El botnet AryStinger ha infectado a más de 4.000 routers D-Link en todo el mundo
Los electrodomésticos llevaban años esperando actualizaciones, pero recibieron algo totalmente distinto.
Los antiguos routers domésticos a menudo permanecen en línea durante años después del fin del soporte, y ese parque de dispositivos fue la base para la nueva botnet AryStinger, que infectó más de 4000 routers D-Link obsoletos en todo el mundo.
Los especialistas del equipo XLab de la compañía Qianxin descubrieron que el malware convierte los dispositivos comprometidos en nodos controlados de forma remota. A través de ellos, el operador de la botnet puede escanear redes, enrutar tráfico malicioso mediante proxy, establecer túneles, ejecutar comandos y preparar ataques adicionales. AryStinger divide la gran tarea de búsqueda de objetivos en partes y la distribuye entre los dispositivos infectados, por lo que el reconocimiento es más rápido y menos perceptible para cada punto individual.
El botnet ataca sobre todo los modelos D-Link DIR-850L y D-Link DIR-818LW, aprovechando vulnerabilidades antiguas CVE-2013-3307, CVE-2016-5681 y CVE-2025-11837. Esos mismos modelos ya habían sido objeto de ataques AVrecon, que la compañía Lumen detuvo en 2023. Según la telemetría de Qianxin, casi la mitad de las infecciones correspondieron a Corea del Sur, alrededor de un tercio a China. A continuación siguen Suecia, Malasia y Singapur.
El peligro de AryStinger no se limita al proxy de tráfico. El malware puede cambiar la configuración de DNS, redirigir al usuario a recursos falsos o maliciosos, y además monitorizar ocultamente el tráfico de red entrante y saliente. Para el propietario de un router infectado, la compromisión puede parecer fallos habituales de conexión o un comportamiento extraño de los sitios, aunque el dispositivo ya esté trabajando para el operador de la botnet.
XLab detectó dos versiones de AryStinger. La primera está escrita en C y está dirigida principalmente a routers antiguos. La segunda está escrita en Go y está destinada a sistemas NAS, pero de momento tiene una difusión mucho menor. La versión para almacenamiento en red puede escanear direcciones IP y DNS, ejecutar comandos, desplegar cargas útiles y explorar la red interna con herramientas abiertas de pruebas de seguridad.
Los especialistas por el momento no relacionan a AryStinger con grupos de hackers ya conocidos. Se recomienda a los propietarios de routers D-Link obsoletos reemplazar los dispositivos por modelos actuales, instalar las últimas actualizaciones de firmware disponibles, cambiar la contraseña de administrador predeterminada y desactivar la administración remota a través de Internet.