Una campaña bautizada como AryStinger ha tomado el control de al menos 4.300 routers domésticos antiguos para usarlos como proxies y nodos de reconocimiento. El foco está en equipos con Realtek RTL819X, sobre todo D-Link DIR-850L, y también aparece una variante que apunta a NAS de QNAP.
La campaña AryStinger ha puesto en el punto de mira a routers domésticos descatalogados, y también a algunos NAS, para convertirlos en una infraestructura distribuida de reconocimiento y proxy que sirve de apoyo a ataques posteriores. No se trata del patrón clásico de botnet enfocada al DDoS. Aquí el valor está en otro sitio: ocultar el origen del tráfico, escanear Internet con miles de direcciones residenciales y preparar el terreno antes de una intrusión.
Los equipos más afectados comparten un denominador común: chips Realtek RTL819X, muy extendidos en el mercado entre 2012 y 2015. Dentro de ese grupo, los routers D-Link dominan el recuento, con el DIR-850L como protagonista claro, alrededor del 75% de los dispositivos comprometidos. También aparecen otros modelos de la familia DIR, como DIR-817L(W), DIR-818L(W), DIR-822, DIR-823, DIR-868L, DIR-880L, DIR-885L, DIR-890L y DIR-895L. La distribución geográfica se concentra en Corea del Sur y China, seguida a cierta distancia por Suecia, Malasia y Singapur.
La cadena de infección inicial aprovecha vulnerabilidades antiguas de ejecución remota de código. En el ecosistema Linksys aparece CVE-2013-3307, y en varios routers D-Link destaca CVE-2016-5681, un fallo documentado hace años en la superficie web de administración de estos equipos. Ese detalle explica la escala: muchos de estos dispositivos ya no reciben firmware actualizado, o directamente siguen expuestos a Internet con la administración remota activa.
Una vez dentro, los nodos comprometidos ejecutan tareas a demanda: escaneo masivo de DNS, enumeración de servicios, descubrimiento de activos y tunelización de tráfico para actuar como trampolín. Los resultados acaban en manos del operador, que puede usar esa información como fase previa para ataques más selectivos. La comunicación con el servidor de mando y control se apoya en HTTP/HTTPS y utiliza datos en Protobuf ofuscados con XOR. En otra variante, escrita en Go, el malware añade compresión gzip.
La persistencia también deja pistas. En routers se ha visto la instalación de Dropbear SSH escuchando en un puerto fijo, el 2332, una forma de mantener acceso incluso si el usuario reinicia el dispositivo. En el caso de QNAP, se observó una segunda variante que intenta aprovechar CVE-2025-11837, una inyección de código vinculada a QNAP Malware Remover y corregida en noviembre de 2025, además de la presencia de herramientas como gs-netcat.
Para usuarios y pequeñas oficinas, las medidas pasan menos por milagros y más por higiene básica: sustituir routers en fin de vida, desactivar la administración remota si no resulta imprescindible y vigilar conexiones salientes a dominios asociados a la campaña, como ajb8.com. En entornos con algo más de control, conviene buscar binarios no autorizados en /tmp/bin, comprobar procesos con nombres como syswapd0h o syswapd0w, y verificar si aparece un Dropbear inesperado en el puerto 2332. En los modelos D-Link compatibles con parches, actualizar el firmware sigue siendo la barrera más directa frente a CVE-2016-5681. Y en QNAP, mantener al día Malware Remover resulta clave para cerrar la puerta a CVE-2025-11837.
Más información
- thehackernews.com – AryStinger Malware Infects 4,300 Legacy Routers to Build Reconnaissance Proxy Network : https://thehackernews.com/2026/06/arystinger-malware-infects-4300-legacy.html
- QiAnXin XLab – More Than 4,000 Legacy Routers Compromised by AryStinger, Turned into Global Attack Proxies for Hackers : https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks-en/
- NIST NVD – CVE-2016-5681 Detail : https://nvd.nist.gov/vuln/detail/CVE-2016-5681
- CERT/CC – VU#332115 – D-Link routers contain buffer overflow vulnerability : https://www.kb.cert.org/vuls/id/332115
- SecurityWeek – D-Link Patches Critical Flaw in DIR Routers : https://www.securityweek.com/d-link-patches-critical-flaw-dir-routers/
Deja una respuesta