A botnet AryStinger infectou cerca de 4,3 mil roteadores antigos para criar uma rede global usada por criminosos em atividades de reconhecimento, ocultação de tráfego e apoio a ataques contra outros alvos. A campanha foi documentada pela QiAnXin XLab e mira principalmente roteadores baseados em chips Realtek RTL819X, comuns em equipamentos lançados entre 2012 e 2015.
Muitos desses aparelhos ainda estão em uso, apesar de já não receberem atualizações regulares. Os invasores exploram falhas antigas, incluindo CVE-2013-3307 e CVE-2016-5681, para comprometer dispositivos vulneráveis.
Modelos da D-Link e da Linksys aparecem entre os equipamentos afetados, com destaque para o D-Link DIR-850L. Depois da infecção, o roteador passa a funcionar como um ponto intermediário para os operadores da botnet.
Em vez de atacar diretamente, os criminosos usam os dispositivos invadidos para esconder a origem real das ações. A AryStinger não parece ter sido criada principalmente para derrubar sites ou gerar grandes volumes de tráfego.
Seu foco é mais discreto: mapear alvos, identificar serviços expostos, procurar subdomínios e criar túneis para movimentar dados. Esse tipo de uso torna a ameaça difícil de perceber por usuários comuns.
O roteador pode continuar funcionando normalmente, enquanto executa tarefas enviadas pelos criminosos em segundo plano. A Coreia do Sul concentra a maior parte das infecções observadas, seguida por países como China, Suécia, Malásia e Singapura.
Os pesquisadores também identificaram uma versão voltada a dispositivos NAS, o que indica possível expansão da campanha.
