Una nuova campagna malware dimostra come dispositivi di rete ormai fuori supporto continuino a rappresentare una risorsa preziosa per i cybercriminali. Il botnet AryStinger, scoperto dai ricercatori del QiAnXin XLab, ha compromesso oltre 4.300 router legacy in tutto il mondo trasformandoli in nodi distribuiti per attività di ricognizione, scansione e proxying. L’operazione sfrutta vulnerabilità note da oltre un decennio presenti in router D-Link e Linksys basati sul chipset RTL819X, oltre ad alcune vulnerabilità più recenti che interessano dispositivi NAS. Gli attaccanti utilizzano l’infrastruttura compromessa per mascherare l’origine delle operazioni offensive, eseguire raccolta di informazioni su larga scala e preparare attacchi successivi contro bersagli di maggiore valore. La campagna evidenzia ancora una volta come l’abbandono di dispositivi obsoleti rappresenti una delle principali criticità nella sicurezza delle reti domestiche e aziendali.
Cosa leggere
QiAnXin XLab scopre una rete globale di router compromessi
Il botnet AryStinger è stato identificato il 12 marzo 2026 dai ricercatori del QiAnXin XLab durante attività di monitoraggio del traffico di rete. L’analisi iniziale di un campione ELF ha rivelato l’esistenza di una piattaforma malware progettata specificamente per creare una rete distribuita di dispositivi utilizzabili come proxy e strumenti di ricognizione. Al momento della pubblicazione dello studio, il numero di sistemi compromessi aveva già superato quota 4.300, con una crescita costante dell’infrastruttura. La maggior parte delle infezioni riguarda router equipaggiati con chipset RTL819X, una piattaforma hardware estremamente diffusa tra il 2012 e il 2015 nei dispositivi consumer e SOHO. Sebbene questi apparati abbiano ormai superato il ciclo di vita previsto dai produttori, continuano a essere utilizzati in quantità significative in tutto il mondo, offrendo agli attaccanti una superficie di attacco ampia e spesso priva di aggiornamenti di sicurezza.
Corea del Sud e Cina guidano la distribuzione delle infezioni
L’analisi geografica della botnet mostra una forte concentrazione delle infezioni in Asia. Circa il 48,45% dei dispositivi compromessi si trova in Corea del Sud, mentre il 31,82% risulta localizzato in Cina. Seguono Svezia con il 6,40%, Malaysia con il 3,50% e Singapore con il 2,50%. Le restanti infezioni risultano distribuite in numerosi altri paesi. Questa concentrazione geografica non implica necessariamente un targeting specifico di tali nazioni, ma riflette probabilmente la persistenza di infrastrutture legacy ancora operative e raggiungibili da internet. La distribuzione globale del malware conferma comunque la capacità degli operatori di costruire una rete resiliente e geograficamente diversificata, utile sia per operazioni di scansione sia per occultare l’origine del traffico malevolo.
Router D-Link e Linksys restano il bersaglio principale
La maggior parte delle infezioni riguarda dispositivi D-Link e Linksys basati su architettura RTL819X. Tra i modelli identificati emerge una predominanza del D-Link DIR-850L, che rappresenta circa il 75% dei sistemi compromessi. Seguono il DIR-818LW con circa il 13% delle infezioni e altri modelli come DIR-816L, DIR-818L, DWR-118 e DIR-817LW. Una quota rilevante di dispositivi non è stata identificata con precisione a causa delle limitazioni nella raccolta dei dati. Il fatto che router commercializzati oltre dieci anni fa siano ancora attivi e raggiungibili dimostra come molte organizzazioni e utenti privati continuino a utilizzare apparati non più supportati, privi di aggiornamenti firmware e vulnerabili a tecniche di attacco ormai ampiamente documentate.
AryStinger sfrutta vulnerabilità note da anni
Uno degli aspetti più significativi della campagna riguarda l’utilizzo di vulnerabilità estremamente datate. Per i dispositivi Linksys gli operatori sfruttano la CVE-2013-3307, mentre per i router D-Link utilizzano la CVE-2016-5681. Entrambe consentono l’esecuzione remota di codice attraverso interfacce esposte e sono note da molti anni alla comunità di sicurezza. Nel caso dei dispositivi NAS, il malware sfrutta invece la più recente CVE-2025-11837. Una volta ottenuto l’accesso iniziale, il sistema scarica script shell da domini controllati dagli attaccanti e procede all’installazione dei payload all’interno della directory /tmp/bin/. La strategia dimostra come vulnerabilità pubblicamente documentate e spesso già corrette continuino a essere sfruttate con successo quando gli apparati non vengono aggiornati o sostituiti.
Due varianti malware per dispositivi con capacità differenti
I ricercatori hanno identificato due principali varianti di AryStinger. La prima, denominata RTL819X, è sviluppata in linguaggio C ed è ottimizzata per funzionare su router con risorse hardware limitate. Questa versione implementa principalmente funzioni di scansione, tunneling e gestione remota. La seconda variante, chiamata Standard, è sviluppata in Go e offre funzionalità più avanzate. Quest’ultima viene utilizzata soprattutto nei dispositivi NAS e integra capacità estese di ricognizione, distribuzione di payload e gestione di operazioni più complesse. La presenza di due versioni differenti evidenzia una progettazione mirata a massimizzare la compatibilità con piattaforme eterogenee e ad adattare il malware alle caratteristiche hardware dei sistemi compromessi.
Persistenza e comunicazione con il comando e controllo
Dopo l’infezione, AryStinger implementa diversi meccanismi di persistenza. Il malware installa il server SSH Dropbear sulla porta 2332 oppure utilizza gs-netcat come canale di accesso remoto. Contestualmente modifica le regole iptables per consentire il traffico necessario al funzionamento dei backdoor. Ogni dispositivo viene registrato presso l’infrastruttura di Command and Control (C2) e riceve un identificativo univoco. Il servizio authsvc invia informazioni dettagliate sul sistema, inclusi indirizzo IP, MAC address, sistema operativo e dati hardware, ricevendo in risposta l’identificativo assegnato. Il modulo hbsvc mantiene la comunicazione con il server attraverso heartbeat periodici, mentre componenti aggiuntivi scaricano aggiornamenti, configurazioni e nuovi payload quando richiesto dagli operatori.
La botnet esegue scansioni, enumerazione e attività di proxying
L’obiettivo principale di AryStinger non sembra essere la monetizzazione immediata tramite ransomware o furto diretto di dati, bensì la costruzione di una piattaforma distribuita per attività di ricognizione. Attraverso il servizio tasksvc, i router ricevono incarichi che comprendono port scanning, fingerprinting dei servizi, enumerazione di sottodomini e scansioni di reti interne. Il malware integra strumenti come massdns, fscan, ksubdomain, httpx e Tlsx, comunemente utilizzati nelle fasi preliminari di raccolta informazioni. I dispositivi infetti fungono inoltre da proxy intermedi, consentendo agli attaccanti di instradare traffico verso altri bersagli e rendendo molto più difficile attribuire l’origine reale delle operazioni. La comunicazione con l’infrastruttura centrale utilizza protocolli HTTP e HTTPS, serializzazione Protobuf e una semplice cifratura XOR basata sulla chiave hardcoded sh_#@!_2024_secret.
L’infrastruttura C2 supporta ricognizione e tunneling distribuito
L’ecosistema di comando e controllo utilizzato dal botnet si appoggia a diversi domini specializzati. Alcuni server gestiscono l’autenticazione dei dispositivi compromessi, altri coordinano i task di scansione e ulteriori nodi sono dedicati alle funzionalità di tunneling e proxying. Questa segmentazione consente agli operatori di mantenere una maggiore resilienza operativa e di sostituire rapidamente componenti dell’infrastruttura in caso di individuazione o blocco. L’utilizzo di downloader separati permette inoltre di distribuire nuove versioni del malware senza dover compromettere nuovamente i dispositivi già infetti, aumentando la persistenza della botnet nel tempo.
I router infetti possono diventare piattaforme per attacchi successivi
L’impatto di AryStinger va ben oltre la semplice compromissione dei router. Una volta sotto il controllo degli attaccanti, questi dispositivi possono essere utilizzati per monitorare il traffico di rete, alterare configurazioni DNS, reindirizzare gli utenti verso siti fraudolenti e fungere da trampolino per attacchi DDoS, movimenti laterali o distribuzione di ulteriori malware. Poiché i router operano spesso ai margini della rete e ricevono poca attenzione da parte degli utenti, la loro compromissione può rimanere invisibile per lunghi periodi. La bassa percentuale di rilevamento osservata nei motori antivirus tradizionali contribuisce ulteriormente alla persistenza dell’infrastruttura malevola e rende complessa l’identificazione dei sistemi compromessi.
Dispositivi fuori supporto continuano a essere una minaccia per la sicurezza globale
La campagna AryStinger rappresenta l’ennesima dimostrazione di come apparati fuori supporto possano trasformarsi in una risorsa strategica per gli attori malevoli. Vulnerabilità pubblicate oltre dieci anni fa continuano a essere sfruttate con successo semplicemente perché migliaia di dispositivi restano operativi senza aggiornamenti o sostituzioni. Router D-Link e Linksys prodotti tra il 2012 e il 2015 costituiscono oggi una superficie di attacco ideale per costruire reti distribuite difficili da tracciare e da neutralizzare. Per organizzazioni e utenti privati che utilizzano ancora questi apparati, la verifica del firmware e la sostituzione dei dispositivi non più supportati rappresentano le uniche contromisure realmente efficaci. AryStinger conferma che la sicurezza delle infrastrutture moderne dipende anche dalla gestione del ciclo di vita dell’hardware e che i sistemi legacy continuano a offrire opportunità preziose ai cybercriminali impegnati nella costruzione di botnet globali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
