O vírus AryStinger infectou milhares de roteadores D-Link e Linksys, além de dispositivos NAS da QNAP.

Uma campanha para criar uma rede de reconhecimento e proxy baseada em uma botnet que inclui roteadores legados infectados das marcas D-Link e Linksys, bem como dispositivos de armazenamento em rede da QNAP, está em andamento online, de acordo com especialistas em segurança cibernética da QiAnXin Xlab.

Fonte da imagem: Rohan / unspalsh.com

Os ataques visam principalmente roteadores obsoletos e descontinuados, sobretudo modelos da Link e da Linksys que utilizam chips Realtek RTL819X. Esses dispositivos foram populares entre 2012 e 2015. Os atacantes exploram duas vulnerabilidades igualmente obsoletas: CVE-2013-3307 em modelos da Linksys e CVE-2016-5681 em modelos da D-Link. Essas vulnerabilidades permitem infectar os dispositivos com o vírus AryStinger.

De acordo com pesquisadores, o AryStinger é usado nas fases de reconhecimento e planejamento de ciberataques mais sérios. Os dispositivos infectados escaneiam a internet, instalam serviços disponíveis em servidores, compilam listas de subdomínios, criam túneis de tráfego e executam comandos sob demanda, ocultando a localização e a identidade dos operadores da botnet. Especialistas alertam que a presença do AryStinger em um roteador equivale a um “dispositivo de espionagem invisível” e uma “plataforma de lançamento para ataques” na mesma rede.

Até o momento, cerca de 4.300 roteadores foram infectados pelo AryStinger — esse número não é definitivo e espera-se que aumente. A maioria das vítimas está na Coreia do Sul (48%) e na China (32%), com Malásia, Singapura e Suécia também mencionadas. O AryStinger também ataca dispositivos de armazenamento em rede (NAS) da QNAP, explorando a vulnerabilidade CVE-2025-11837, que consta como tendo sido corrigida em novembro de 2025; o número de dispositivos NAS infectados ainda não foi determinado.

Os autores da campanha também não foram identificados.Para detectar uma infecção por AryStinger, os pesquisadores recomendam monitorar os registros de conexão com domínios controlados pelo atacante e verificar o diretório “/tmp/bin” em busca de binários e processos não identificados com os nomes syswapd0h ou syswapd0w.