Malware AryStinger

Una nueva familia de malware, denominada AryStinger, está transformando los routers domésticos abandonados en una red de reconocimiento y proxy a gran escala, en lugar de las tradicionales botnets de denegación de servicio distribuido (DDoS) asociadas a dispositivos de red comprometidos. Los investigadores de seguridad ya han identificado al menos 4300 routers infectados, y se prevé que esta cifra siga aumentando.

A diferencia de las campañas de malware convencionales que se centran en interrumpir servicios, AryStinger está diseñado para apoyar las primeras etapas de las intrusiones cibernéticas. Los dispositivos comprometidos se utilizan para escanear internet, identificar servicios en ejecución, enumerar subdominios, tunelizar el tráfico de red y ejecutar comandos de forma remota antes de transmitir la información recopilada a los operadores. Cada router infectado funciona eficazmente como un nodo de reconocimiento y un relé de anonimización que oculta el verdadero origen del atacante.

Ataque a hardware obsoleto y vulnerabilidades olvidadas hace mucho tiempo.

La campaña se dirige principalmente a routers equipados con chipsets Realtek RTL819X, un hardware que se utilizó ampliamente entre 2012 y 2015. Los investigadores detectaron el malware por primera vez el 12 de marzo de 2026, cuando las infecciones se originaron desde una única dirección IP.

El malware desplegado era un binario ELF de Linux que inicialmente eludió la detección de todos los motores de VirusTotal. Logró la infección explotando dos vulnerabilidades antiguas:

  • La vulnerabilidad CVE-2013-3307 afecta a ciertos routers Linksys.
  • La vulnerabilidad CVE-2016-5681 afecta a dispositivos D-Link específicos.

La mayoría de los sistemas afectados son productos D-Link, y el modelo DIR-850L representa aproximadamente el 75 por ciento de las infecciones. Geográficamente, las infecciones se concentran en Corea del Sur (48 por ciento) y China (32 por ciento), seguidas de Suecia, Malasia y Singapur.

Expansión más allá de los enrutadores

El 26 de abril de 2026 surgió una segunda variante de malware que atacaba los dispositivos NAS de QNAP a través de la vulnerabilidad CVE-2025-11837, una vulnerabilidad de inyección de código que afectaba a la utilidad Malware Remover de QNAP. Aunque la vulnerabilidad ya se había corregido en noviembre de 2025, los atacantes comenzaron a explotarla varios meses después.

Irónicamente, el vector de infección es la propia aplicación de eliminación de malware del dispositivo NAS. La cifra reportada de 4300 sistemas comprometidos solo incluye los routers RTL819X infectados y no tiene en cuenta los dispositivos NAS afectados.

Malware ligero con potentes capacidades

La versión de AryStinger para enrutadores está escrita en C y, debido a los recursos limitados del hardware antiguo, se ha diseñado para ser ligera. Sus funciones principales son el escaneo masivo de DNS y la tunelización de tráfico.

La versión NAS, desarrollada en Go, ofrece capacidades significativamente más amplias. Puede escanear redes internas y externas e implementar utilidades de reconocimiento como fscan, ksubdomain y httpx. Una función conocida como ScriptWork permite a los operadores ejecutar código fuente de Go, Java o Python proporcionado por el atacante directamente en el sistema infectado, eliminando la necesidad de compilar binarios separados para cada objetivo.

La comunicación entre los dispositivos infectados y los servidores de comando y control (C2) se realiza a través de HTTP y HTTPS mediante tráfico codificado en Protobuf y ofuscado con un esquema XOR simple, mientras que la variante basada en Go añade compresión gzip. Las tareas de escaneo de gran tamaño se dividen en segmentos más pequeños y se distribuyen por toda la botnet, lo que permite operaciones de reconocimiento paralelas.

Persistencia y potencial de abuso

El malware mantiene el acceso a largo plazo mediante la implementación de un servidor SSH Dropbear en el puerto 2332 para enrutadores y gs-netcat en sistemas NAS comprometidos. Los investigadores también identificaron una clave de autenticación codificada, 'sh_#@!_2024_secret', cuya inclusión de '2024' podría indicar que el desarrollo de la operación comenzó ese año, aunque esto no se puede confirmar con certeza.

Si bien el reconocimiento parece ser el objetivo principal, las capacidades de escaneo DNS del malware también pueden redirigirse hacia los servidores DNS para generar tráfico de denegación de servicio cuando sea necesario.

Un patrón familiar: redes de cajas de relés operativas

La infraestructura creada por AryStinger se asemeja mucho a las redes de cajas de retransmisión operativas (ORB). Estas redes consisten en routers y dispositivos IoT comprometidos y al final de su vida útil, que permiten a los ciberdelincuentes realizar operaciones de escaneo y retransmitir tráfico malicioso, dificultando su rastreo.

Este enfoque recuerda a incidentes anteriores. En mayo de 2025, el FBI y el Departamento de Justicia de EE. UU. desmantelaron los servicios 5socks y Anyproxy, que monetizaban el acceso a proxies residenciales explotando routers Linksys y Cisco obsoletos infectados con el malware TheMoon. Más recientemente, operaciones de ORB como LapDogs también se han valido de vulnerabilidades sin parchear en dispositivos antiguos.

Por el momento, AryStinger no se ha atribuido de forma concluyente a ningún actor de amenazas específico. Sin embargo, su modelo operativo es inconfundible: hardware obsoleto y vulnerabilidades olvidadas se están transformando en una infraestructura sigilosa que respalda las etapas iniciales de intrusiones cibernéticas sofisticadas.

Estrategias de detección y mitigación

Las organizaciones y las personas que operen equipos potencialmente afectados deben investigar de inmediato si existen indicios de vulneración de seguridad e implementar medidas correctivas a largo plazo.

  • Supervise las conexiones salientes a los servidores de comando y control de AryStinger y a los dominios de descarga.
  • Inspeccione el directorio /tmp/bin en busca de archivos binarios desconocidos.
  • Busque procesos sospechosos llamados syswapd0h o syswapd0w.

La defensa más eficaz sigue siendo sencilla: retirar los equipos de red obsoletos que ya no reciben actualizaciones de firmware y deshabilitar la administración remota en los dispositivos conectados a internet siempre que sea posible. Es poco probable que el hardware que dejó de recibir parches de seguridad hace años esté protegido contra las amenazas actuales.

Mas Visto

Cargando...