Logiciel malveillant AryStinger
Une nouvelle famille de logiciels malveillants, baptisée AryStinger, transforme les routeurs domestiques abandonnés en un vaste réseau de reconnaissance et de proxy, contrairement aux botnets d'attaques par déni de service distribué (DDoS) traditionnels généralement associés aux périphériques réseau compromis. Les chercheurs en sécurité ont déjà identifié au moins 4 300 routeurs infectés, et ce nombre devrait continuer d'augmenter.
Contrairement aux campagnes de logiciels malveillants classiques qui visent à perturber les services, AryStinger est conçu pour les premières étapes des cyberattaques. Les appareils compromis sont utilisés pour analyser Internet, identifier les services en cours d'exécution, recenser les sous-domaines, tunneliser le trafic réseau et exécuter des commandes à distance avant de transmettre les informations collectées aux opérateurs. Chaque routeur infecté sert ainsi à la fois de nœud de reconnaissance et de relais d'anonymisation, masquant la véritable origine de l'attaquant.
Table des matières
Cibler le matériel vieillissant et les vulnérabilités oubliées depuis longtemps
La campagne cible principalement les routeurs équipés de chipsets Realtek RTL819X, un matériel largement utilisé entre 2012 et 2015. Les chercheurs ont observé le logiciel malveillant pour la première fois le 12 mars 2026, lorsque les infections provenaient d'une seule adresse IP.
Le logiciel malveillant déployé était un binaire ELF Linux qui avait initialement échappé à la détection de tous les moteurs de VirusTotal. Il a réussi à infecter le système en exploitant deux vulnérabilités anciennes :
- CVE-2013-3307 affectant certains routeurs Linksys.
- Vulnérabilité CVE-2016-5681 affectant certains appareils D-Link.
La plupart des systèmes compromis sont des produits D-Link, le modèle DIR-850L représentant environ 75 % des infections. Géographiquement, les infections sont concentrées en Corée du Sud (48 %) et en Chine (32 %), suivies de la Suède, de la Malaisie et de Singapour.
Extension au-delà des routeurs
Une seconde variante de logiciel malveillant est apparue le 26 avril 2026, ciblant les périphériques NAS QNAP via la vulnérabilité CVE-2025-11837, une faille d'injection de code affectant l'utilitaire de suppression de logiciels malveillants de QNAP. Bien que cette vulnérabilité ait déjà été corrigée en novembre 2025, des attaquants ont commencé à l'exploiter plusieurs mois plus tard.
Paradoxalement, le vecteur d'infection est l'application de suppression de logiciels malveillants intégrée au NAS. Le chiffre de 4 300 systèmes compromis ne concerne que les routeurs RTL819X infectés et n'inclut pas les NAS affectés.
Logiciel malveillant léger doté de puissantes fonctionnalités
La version routeur d'AryStinger est écrite en C et volontairement légère en raison des ressources limitées du matériel ancien. Ses fonctions principales sont l'analyse DNS massive et le tunnelage du trafic.
La version NAS, développée en Go, offre des fonctionnalités nettement plus étendues. Elle peut analyser les réseaux internes et externes et déployer des outils de reconnaissance tels que fscan, ksubdomain et httpx. La fonctionnalité ScriptWork permet aux opérateurs d'exécuter directement sur le système infecté du code source Go, Java ou Python fourni par l'attaquant, évitant ainsi la compilation de binaires distincts pour chaque cible.
La communication entre les appareils infectés et les serveurs de commande et de contrôle (C2) s'effectue via HTTP et HTTPS, avec un trafic encodé en Protobuf et obscurci par un simple algorithme XOR. La variante basée sur Go ajoute la compression gzip. Les tâches d'analyse importantes sont divisées en segments plus petits et distribuées sur l'ensemble du botnet, permettant ainsi des opérations de reconnaissance parallèles.
Persistance et potentiel d’abus
Le logiciel malveillant maintient un accès permanent en déployant un serveur SSH Dropbear sur le port 2332 pour les routeurs et gs-netcat sur les systèmes NAS compromis. Les enquêteurs ont également identifié une clé d'authentification codée en dur, « sh_#@!_2024_secret », dont la présence de « 2024 » pourrait indiquer que le développement de l'opération a débuté cette année-là, bien que cela ne puisse être confirmé avec certitude.
Bien que la reconnaissance semble être l'objectif principal, les capacités d'analyse DNS du logiciel malveillant peuvent également être redirigées vers les résolveurs DNS pour générer un trafic de déni de service en cas de besoin.
Un schéma familier : les réseaux de boîtes de relais opérationnelles
L'infrastructure créée par AryStinger ressemble fortement aux réseaux ORB (Operational Relay Box). Ces réseaux sont constitués de routeurs et d'objets connectés en fin de vie compromis, permettant aux acteurs malveillants de mener des opérations de scan et de relayer du trafic malveillant tout en restant difficiles à tracer.
Cette approche rappelle des incidents antérieurs. En mai 2025, le FBI et le département de la Justice américain ont démantelé les services 5socks et Anyproxy, qui monétisaient l'accès proxy résidentiel en exploitant des routeurs Linksys et Cisco obsolètes infectés par le logiciel malveillant TheMoon. Plus récemment, des opérations de partage de trafic en ligne (ORB) telles que LapDogs ont également exploité des vulnérabilités non corrigées dans des équipements vieillissants.
À l'heure actuelle, AryStinger n'a pas été formellement attribué à un acteur malveillant spécifique. Toutefois, son mode opératoire est sans équivoque : du matériel obsolète et des vulnérabilités oubliées sont transformés en une infrastructure furtive permettant les premières étapes d'intrusions informatiques sophistiquées.
Stratégies de détection et d’atténuation
Les organisations et les personnes utilisant des équipements potentiellement affectés doivent immédiatement rechercher des signes de compromission et mettre en œuvre des mesures correctives à long terme.
- Surveillez les connexions sortantes vers les serveurs de commande et de contrôle AryStinger et les domaines de téléchargement.
- Examinez le répertoire /tmp/bin à la recherche de fichiers binaires inconnus.
- Recherchez les processus suspects nommés syswapd0h ou syswapd0w.
La défense la plus efficace reste simple : mettre hors service les équipements réseau en fin de vie qui ne reçoivent plus de mises à jour de micrologiciel et désactiver l’administration à distance sur les appareils exposés à Internet chaque fois que cela est possible. Le matériel qui ne reçoit plus de correctifs de sécurité depuis des années a peu de chances d’être protégé contre les menaces actuelles.