Botnet malware yang sebelumnya tidak terdokumentasi bernama AryStinger telah menyusupi lebih dari 4.000 router usang untuk mengubahnya menjadi proxy untuk lalu lintas berbahaya.
Para peneliti di tim intelijen ancaman XLab Qianxin mengatakan bahwa malware tersebut mengubah perangkat yang terinfeksi menjadi “eksekutor” yang dikendalikan dari jarak jauh yang dapat melakukan pemindaian, proksi, terowongan, eksekusi perintah, dan aktivitas lain atas nama penyerang.
“Penyerang dapat membagi tugas pemindaian besar-besaran menjadi beberapa bagian kecil dan mendistribusikannya ke Pelaksana yang berbeda untuk eksekusi paralel,” Catatan peneliti XLab.
“Dengan desain seperti terdistribusi ini, penyerang dapat menyelesaikan aktivitas “jejak kaki” awal secara efisien, sehingga memberikan jaminan yang kuat atas kelancaran dan tingkat keberhasilan operasi intrusi selanjutnya.”
Selain menggunakan router yang disusupi sebagai batu loncatan untuk operasi jahat, XLab memperingatkan bahwa malware juga dapat merusak pengaturan DNS, membajak penjelajahan pengguna, dan memantau secara diam-diam serta berpotensi mencuri semua lalu lintas jaringan masuk dan keluar.
Sumber: XLab
AryStinger mengeksploitasi kelemahan lama seperti CVE-2013-3307, CVE-2016-5681, dan CVE-2025-11837, terutama menargetkan router D-Link DIR-850L, D-Link DIR-818LW.
Kedua model router tersebut adalah ditargetkan sebelumnya oleh Bot malware AVrecont penyedia layanan komunikasi Lumen, Lumen, terganggu pada tahun 2023.
Data telemetri Qianxin menunjukkan bahwa hampir separuh dari seluruh infeksi berada di Korea Selatan (48,5%), diikuti oleh Tiongkok (31,8%), Swedia (6,4%), Malaysia (3,5%), dan Singapura (2,5%).
Peneliti XLab menemukan dua varian malware AryStinger: versi berbasis C yang menargetkan sebagian besar router yang sudah ketinggalan zaman, dan versi berbasis Go yang berfokus pada sistem NAS, namun saat ini jangkauannya jauh lebih terbatas.
Sumber: XLab
Versi NAS adalah yang paling canggih dari keduanya, menampilkan kemampuan tambahan seperti pemindaian IP dan DNS, eksekusi perintah, eksekusi payload, dan pengintaian jaringan internal melalui integrasi alat pengujian penetrasi sumber terbuka.
Para peneliti mencatat bahwa infrastruktur pemindaian DNS terdistribusi milik AryStinger berpotensi digunakan kembali untuk menghasilkan permintaan DNS dalam jumlah besar terhadap penyelesai, meskipun mereka tidak melihat adanya serangan semacam itu.
Mengenai kemampuan eksekusi kode versi NAS, XLab mengatakan ada dukungan untuk perintah Shell, serta kode sumber Go, Java, dan Python.
Namun, ada beberapa batasan dalam menggunakan kode sumber dibandingkan binari yang dikompilasi, karena kompilasi memerlukan runtime bahasa pada host, dan proses secara keseluruhan menimbulkan gangguan yang dapat mengganggu kerahasiaan.
Para peneliti tidak mengaitkan AryStinger dengan kelompok aktivitas mana pun yang diketahui, dan menyatakan bahwa “banyak misteri seputar AryStinger yang masih harus dipecahkan.”
Pemilik router yang sudah habis masa pakainya (EoL) harus menggantinya dengan model baru yang didukung secara aktif, menerapkan pembaruan firmware terbaru yang tersedia, mengubah kata sandi akun administrator default, dan menonaktifkan panel manajemen jarak jauh.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
