🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova família de malware está transformando roteadores domésticos esquecidos em uma rede distribuída de reconhecimento e proxy, e não na botnet DDoS em que esses dispositivos geralmente acabam. O XLab da QiAnXin o chama de AryStinger e conta pelo menos 4.300 roteadores infectados, um total que diz ainda estar aumentando.
A distinção é importante. O AryStinger existe para o estágio de um ataque que ocorre antes da invasão. Os dispositivos infectados verificam a Internet, serviços de impressão digital, enumeram subdomínios, encapsulam o tráfego e executam comandos sob demanda e, em seguida, enviam os resultados de volta à operadora.
Cada roteador se torna um nó de pegada e um retransmissor que esconde onde está o verdadeiro invasor.
Chips antigos, bugs mais antigos
A campanha vai atrás de roteadores construídos em chips RTL819X da Realtek, hardware que estava em vigor entre 2012 e 2015. O XLab o viu pela primeira vez em 12 de março de 2026, espalhando-se a partir de um único IP, 107.150.106.14.
O binário que ele empurrou foi um Linux ELF que nenhum mecanismo do VirusTotal sinalizou, explorando duas falhas de outra época: CVE-2013-3307 nos modelos Linksys e CVE-2016-5681 nos modelos D-Link.
O pool infectado é principalmente D-Link, com o DIR-850L sozinho representando cerca de 75 por cento. Por geografia, inclina-se para a Coreia do Sul (cerca de 48 por cento) e para a China (cerca de 32 por cento), depois para a Suécia, Malásia e Singapura.
Uma segunda cepa apareceu em 26 de abril, direcionada às caixas NAS da QNAP por meio do CVE-2025-11837, uma falha de injeção de código no Malware Remover da QNAP. O bug foi mostrado na Pwn2Own Ireland 2025 e corrigido em novembro de 2025, meses antes desta cepa começar a usá-lo.
A entrada é a ferramenta de remoção de malware do próprio dispositivo. O XLab não mediu as infecções de NAS, então o número de 4.300 abrange apenas roteadores RTL819X.
Duas compilações, mesmo trabalho
Uma construção é enxuta e a outra é mais completa. A construção do roteador é escrita em C e mantida leve, porque o hardware antigo não pode funcionar mais, então ele se limita à varredura de DNS em massa e ao tunelamento de tráfego. A construção do NAS é escrita em Go e faz muito mais. Ele verifica redes internas e externas e executa ferramentas de reconhecimento como fscan, ksubdomain e httpx. Uma tarefa "ScriptWork" executa código-fonte Go, Java ou Python fornecido pelo invasor na caixa, para que o operador nunca precise compilar um binário por destino.
Cada nó infectado, que o XLab chama de Executor, se comunica com seu C2 por HTTP/HTTPS, com tráfego codificado em Protobuf ofuscado por um simples XOR (a versão Go adiciona gzip). O operador divide uma grande varredura em partes e as espalha pela frota, ocupando a área em paralelo.
XLab diz que a mesma varredura de DNS pode ser direcionada a resolvedores para gerar tráfego de negação de serviço. A persistência vem de um servidor Dropbear SSH em uma porta fixa, 2332 em roteadores ou gs-netcat em NAS. A chave codificada, sh_#@!_2024_secret, carrega um "2024" que pode apontar para um início em 2024, embora o XLab não possa confirmá-lo.
Onde isso se encaixa
A forma é familiar. Em maio de 2025, o FBI e o Departamento de Justiça destruíram os serviços 5socks e Anyproxy, que transformaram roteadores Linksys e Cisco antigos que executavam o malware TheMoon em proxies residenciais vendidos por mês. A versão de espionagem parece a mesma.
A Mandiant rastreou redes de caixas de retransmissão operacionais, ou ORBs: malhas de roteadores comprometidos em fim de vida e IoT que os atores estatais usam para escanear e retransmitir, ao mesmo tempo em que são difíceis de rastrear. ORBs de roteadores recentes, como dispositivos agrícolas LapDogs, passam por bugs de n dias, como o AryStinger faz.
AryStinger ainda não está vinculado a ninguém e o XLab diz que ainda está trabalhando para descobrir quem está por trás disso. O que está claro é o modelo: hardware esquecido, CVEs antigos, transformados em infraestrutura silenciosa para os movimentos iniciais de uma intrusão.
O que fazer
Se você usar qualquer um dos equipamentos afetados, as verificações serão simples. Procure conexões de saída para o C2 do AryStinger e domínios de download (o ajb8.com e hosts relacionados na lista IOC do XLab), verifique /tmp/bin para binários que você não colocou lá e procure por processos chamados syswapd0h ou syswapd0w.
A solução durável é aquela que todos repetem: aposentar roteadores em fim de vida que não recebem mais firmware e desativar a administração remota de qualquer coisa exposta. Uma caixa que parou de receber patches em 2016 não vai começar agora.
A distinção é importante. O AryStinger existe para o estágio de um ataque que ocorre antes da invasão. Os dispositivos infectados verificam a Internet, serviços de impressão digital, enumeram subdomínios, encapsulam o tráfego e executam comandos sob demanda e, em seguida, enviam os resultados de volta à operadora.
Cada roteador se torna um nó de pegada e um retransmissor que esconde onde está o verdadeiro invasor.
Chips antigos, bugs mais antigos
A campanha vai atrás de roteadores construídos em chips RTL819X da Realtek, hardware que estava em vigor entre 2012 e 2015. O XLab o viu pela primeira vez em 12 de março de 2026, espalhando-se a partir de um único IP, 107.150.106.14.
O binário que ele empurrou foi um Linux ELF que nenhum mecanismo do VirusTotal sinalizou, explorando duas falhas de outra época: CVE-2013-3307 nos modelos Linksys e CVE-2016-5681 nos modelos D-Link.
O pool infectado é principalmente D-Link, com o DIR-850L sozinho representando cerca de 75 por cento. Por geografia, inclina-se para a Coreia do Sul (cerca de 48 por cento) e para a China (cerca de 32 por cento), depois para a Suécia, Malásia e Singapura.
Uma segunda cepa apareceu em 26 de abril, direcionada às caixas NAS da QNAP por meio do CVE-2025-11837, uma falha de injeção de código no Malware Remover da QNAP. O bug foi mostrado na Pwn2Own Ireland 2025 e corrigido em novembro de 2025, meses antes desta cepa começar a usá-lo.
A entrada é a ferramenta de remoção de malware do próprio dispositivo. O XLab não mediu as infecções de NAS, então o número de 4.300 abrange apenas roteadores RTL819X.
Duas compilações, mesmo trabalho
Uma construção é enxuta e a outra é mais completa. A construção do roteador é escrita em C e mantida leve, porque o hardware antigo não pode funcionar mais, então ele se limita à varredura de DNS em massa e ao tunelamento de tráfego. A construção do NAS é escrita em Go e faz muito mais. Ele verifica redes internas e externas e executa ferramentas de reconhecimento como fscan, ksubdomain e httpx. Uma tarefa "ScriptWork" executa código-fonte Go, Java ou Python fornecido pelo invasor na caixa, para que o operador nunca precise compilar um binário por destino.
Cada nó infectado, que o XLab chama de Executor, se comunica com seu C2 por HTTP/HTTPS, com tráfego codificado em Protobuf ofuscado por um simples XOR (a versão Go adiciona gzip). O operador divide uma grande varredura em partes e as espalha pela frota, ocupando a área em paralelo.
XLab diz que a mesma varredura de DNS pode ser direcionada a resolvedores para gerar tráfego de negação de serviço. A persistência vem de um servidor Dropbear SSH em uma porta fixa, 2332 em roteadores ou gs-netcat em NAS. A chave codificada, sh_#@!_2024_secret, carrega um "2024" que pode apontar para um início em 2024, embora o XLab não possa confirmá-lo.
Onde isso se encaixa
A forma é familiar. Em maio de 2025, o FBI e o Departamento de Justiça destruíram os serviços 5socks e Anyproxy, que transformaram roteadores Linksys e Cisco antigos que executavam o malware TheMoon em proxies residenciais vendidos por mês. A versão de espionagem parece a mesma.
A Mandiant rastreou redes de caixas de retransmissão operacionais, ou ORBs: malhas de roteadores comprometidos em fim de vida e IoT que os atores estatais usam para escanear e retransmitir, ao mesmo tempo em que são difíceis de rastrear. ORBs de roteadores recentes, como dispositivos agrícolas LapDogs, passam por bugs de n dias, como o AryStinger faz.
AryStinger ainda não está vinculado a ninguém e o XLab diz que ainda está trabalhando para descobrir quem está por trás disso. O que está claro é o modelo: hardware esquecido, CVEs antigos, transformados em infraestrutura silenciosa para os movimentos iniciais de uma intrusão.
O que fazer
Se você usar qualquer um dos equipamentos afetados, as verificações serão simples. Procure conexões de saída para o C2 do AryStinger e domínios de download (o ajb8.com e hosts relacionados na lista IOC do XLab), verifique /tmp/bin para binários que você não colocou lá e procure por processos chamados syswapd0h ou syswapd0w.
A solução durável é aquela que todos repetem: aposentar roteadores em fim de vida que não recebem mais firmware e desativar a administração remota de qualquer coisa exposta. Uma caixa que parou de receber patches em 2016 não vai começar agora.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #malware #arystinger #infecta #4.300 #roteadores #legados #para #construir #rede #proxy #de #reconhecimento
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário