В марте 2026 года исследователи из QiAnXin XLab зафиксировали необычную вредоносную сеть. Ей дали имя AryStinger, и она не похожа на типичные IoT-ботнеты. Никакого DDoS, никакого майнинга, никакой рассылки спама. Только тихая разведка и прокси-трафик через забытые домашние устройства. К апрелю операторы взяли под контроль минимум 4 300 маршрутизаторов, и сеть продолжает расти.
Старые железки как точка входа
Основная цель AryStinger, маршрутизаторы на чипсете Realtek RTL819X, выпущенные примерно между 2012 и 2015 годами. Эти устройства давно сняты с поддержки, прошивки для них не обновляются с 2016-го, а то и раньше. Ботнет эксплуатирует два известных дефекта: CVE-2013-3307 в роутерах Linksys и CVE-2016-5681 в устройствах D-Link. Последняя уязвимость особенно популярна у операторов, поскольку модель DIR-850L составляет около 75% всех заражённых устройств. Это классическая картина «оружейного ботнета»: никто не будет патчить десятилетний DIR-850L, сидящий в углу на антресолях, и именно поэтому он так удобен для атакующего.
География заражения
Примерно 48% скомпрометированных роутеров находятся в Южной Корее, ещё 32% в Китае. Заметные следы AryStinger замечены также в Швеции, Малайзии и Сингапуре. Первое заражение исследователи зафиксировали 12 марта 2026 года, источником стал IP-адрес 107.150.106.14. Цифра в 4 300 устройств учитывает только маршрутизаторы, NAS-сегмент в подсчёт не входит.
Две версии, две платформы
AryStinger существует в двух принципиально разных сборках. «Лёгкая» написана на C и работает на устаревших чипах с минимумом ресурсов, её задача массовое DNS-сканирование и туннелирование трафика. Для NAS-устройств (более мощных) операторы перешли на Go и развернули полноценный арсенал: fscan, ksubdomain, httpx для разведки, а также модуль ScriptWork, позволяющий запускать на скомпрометированном устройстве произвольный код на Go, Java или Python. Бинарная компиляция под каждую цель не требуется, атакующий просто отправляет исходники. Связь с C2 у обеих версий идёт через HTTP/HTTPS с Protobuf и XOR-обфускацией; NAS-сборка дополнительно сжимает трафик gzip. Жёстко прописанный ключ содержит строку "sh_@!_2024_secret", что намекает на возможный старт разработки в 2024 году, хотя подтверждения этому нет.
Закрепление и скрытность
Для устойчивости на роутерах AryStinger устанавливает SSH-сервер Dropbear на фиксированном порте 2332. На NAS применяется gs-netcat. Индикаторы компрометации конкретные и удобные для поиска: подозрительные бинарники в каталоге /tmp/bin, процессы с именами syswapd0h и syswapd0w, исходящие соединения к доменам группы .
QNAP под ударом: собственный инструмент защиты стал дырой
26 апреля 2026 года появилась вторая волна AryStinger, нацеленная на NAS-устройства QNAP. Входной точкой стал CVE-2025-11837, уязвимость внедрения кода в компоненте Malware Remover, тот самый «чистильщик», который QNAP предлагает для борьбы с малварью. Баг был продемонстрирован на Pwn2Own Ireland 2025, а патч вышел в ноябре 2025-го. AryStinger начал использовать эту дыру спустя месяцы после выхода обновления, ироничный сюжет: инструмент для удаления вирусов стал их вектором доставки.
Не ботнет, а ORB: логика разведки, а не прибыли
В мае 2025 года ФБР и Министерство юстиции США закрыли сервисы 5socks и Anyproxy, построенные на старых маршрутизаторах Linksys и Cisco, заражённых малварью TheMoon. AryStinger работает по похожей схеме, но мотивация принципиально иная. Если 5socks продавали чужие IP-адреса как коммерческие прокси, то AryStinger строит тихую инфраструктуру для первичной разведки и скрытого проникновения. Это близко к модели ORB (Operational Relay Box), которую описывали специалисты Mandiant: сети скомпрометированных EOL-устройств, через которые государственные и продвинутые группы проводят сканирование и ретрансляцию трафика, маскируя настоящий источник атаки. Похожие структуры, к примеру LapDogs, эксплуатируют старые n-day уязвимости в роутерах с той же целью.
Что с этим делать прямо сейчас
Поиск индикаторов. Настройте оповещения на исходящие соединения к доменам и связанным с ними адресам из IOC-листа XLab. Проверьте каталог /tmp/bin на предмет незнакомых бинарников и наличие процессов syswapd0h / syswapd0w.
Стратегические меры. Устройства, не получавшие обновлений с 2016 года и ранее, не начнут получать их сейчас. Отключите удалённое администрирование на всём оборудовании, торчащем в интернет, после чего запланируйте замену. Это единственный способ по-настоящему избавиться от риска.
Кому это нужно?
Профиль оператора AryStinger указывает скорее на APT или государственно-аффилированную структуру, чем на обычную киберпреступность. Слишком специфический инструментарий, акцент на скрытности и разведке, использование разнородного парка устройств под единым управлением. QiAnXin XLab продолжает расследование, и публичная атрибуция пока не объявлена.
Почему именно D-Link DIR-850L?
DIR-850L массово продавался в период 2012–2015 годов, хорошо документирован, уязвим и при этом по-прежнему стоит у пользователей дома. Когда 75% скомпрометированных устройств одна и та же модель, это сигнал для владельцев: конкретно ваш роутер с большой вероятностью либо уже заражён, либо станет лёгкой добычей. CVE-2016-5681 больше десяти лет как известен, защиты производителя нет, а подключение к глобальной бот-сети превращает его в ретранслятор для чужой разведки, без ведома хозяина.
Из всего этого следует простой вывод: старый роутер это устаревшая техника и постоянная точка входа в вашу сеть для тех, кто умеет этим пользоваться. И пока устройство физически работает и подключено к интернету, оно остаётся частью чужой инфраструктуры.
Старые железки как точка входа
Основная цель AryStinger, маршрутизаторы на чипсете Realtek RTL819X, выпущенные примерно между 2012 и 2015 годами. Эти устройства давно сняты с поддержки, прошивки для них не обновляются с 2016-го, а то и раньше. Ботнет эксплуатирует два известных дефекта: CVE-2013-3307 в роутерах Linksys и CVE-2016-5681 в устройствах D-Link. Последняя уязвимость особенно популярна у операторов, поскольку модель DIR-850L составляет около 75% всех заражённых устройств. Это классическая картина «оружейного ботнета»: никто не будет патчить десятилетний DIR-850L, сидящий в углу на антресолях, и именно поэтому он так удобен для атакующего.
География заражения
Примерно 48% скомпрометированных роутеров находятся в Южной Корее, ещё 32% в Китае. Заметные следы AryStinger замечены также в Швеции, Малайзии и Сингапуре. Первое заражение исследователи зафиксировали 12 марта 2026 года, источником стал IP-адрес 107.150.106.14. Цифра в 4 300 устройств учитывает только маршрутизаторы, NAS-сегмент в подсчёт не входит.
Две версии, две платформы
AryStinger существует в двух принципиально разных сборках. «Лёгкая» написана на C и работает на устаревших чипах с минимумом ресурсов, её задача массовое DNS-сканирование и туннелирование трафика. Для NAS-устройств (более мощных) операторы перешли на Go и развернули полноценный арсенал: fscan, ksubdomain, httpx для разведки, а также модуль ScriptWork, позволяющий запускать на скомпрометированном устройстве произвольный код на Go, Java или Python. Бинарная компиляция под каждую цель не требуется, атакующий просто отправляет исходники. Связь с C2 у обеих версий идёт через HTTP/HTTPS с Protobuf и XOR-обфускацией; NAS-сборка дополнительно сжимает трафик gzip. Жёстко прописанный ключ содержит строку "sh_@!_2024_secret", что намекает на возможный старт разработки в 2024 году, хотя подтверждения этому нет.
Закрепление и скрытность
Для устойчивости на роутерах AryStinger устанавливает SSH-сервер Dropbear на фиксированном порте 2332. На NAS применяется gs-netcat. Индикаторы компрометации конкретные и удобные для поиска: подозрительные бинарники в каталоге /tmp/bin, процессы с именами syswapd0h и syswapd0w, исходящие соединения к доменам группы .
QNAP под ударом: собственный инструмент защиты стал дырой
26 апреля 2026 года появилась вторая волна AryStinger, нацеленная на NAS-устройства QNAP. Входной точкой стал CVE-2025-11837, уязвимость внедрения кода в компоненте Malware Remover, тот самый «чистильщик», который QNAP предлагает для борьбы с малварью. Баг был продемонстрирован на Pwn2Own Ireland 2025, а патч вышел в ноябре 2025-го. AryStinger начал использовать эту дыру спустя месяцы после выхода обновления, ироничный сюжет: инструмент для удаления вирусов стал их вектором доставки.
Не ботнет, а ORB: логика разведки, а не прибыли
В мае 2025 года ФБР и Министерство юстиции США закрыли сервисы 5socks и Anyproxy, построенные на старых маршрутизаторах Linksys и Cisco, заражённых малварью TheMoon. AryStinger работает по похожей схеме, но мотивация принципиально иная. Если 5socks продавали чужие IP-адреса как коммерческие прокси, то AryStinger строит тихую инфраструктуру для первичной разведки и скрытого проникновения. Это близко к модели ORB (Operational Relay Box), которую описывали специалисты Mandiant: сети скомпрометированных EOL-устройств, через которые государственные и продвинутые группы проводят сканирование и ретрансляцию трафика, маскируя настоящий источник атаки. Похожие структуры, к примеру LapDogs, эксплуатируют старые n-day уязвимости в роутерах с той же целью.
Что с этим делать прямо сейчас
Поиск индикаторов. Настройте оповещения на исходящие соединения к доменам и связанным с ними адресам из IOC-листа XLab. Проверьте каталог /tmp/bin на предмет незнакомых бинарников и наличие процессов syswapd0h / syswapd0w.
Стратегические меры. Устройства, не получавшие обновлений с 2016 года и ранее, не начнут получать их сейчас. Отключите удалённое администрирование на всём оборудовании, торчащем в интернет, после чего запланируйте замену. Это единственный способ по-настоящему избавиться от риска.
Кому это нужно?
Профиль оператора AryStinger указывает скорее на APT или государственно-аффилированную структуру, чем на обычную киберпреступность. Слишком специфический инструментарий, акцент на скрытности и разведке, использование разнородного парка устройств под единым управлением. QiAnXin XLab продолжает расследование, и публичная атрибуция пока не объявлена.
Почему именно D-Link DIR-850L?
DIR-850L массово продавался в период 2012–2015 годов, хорошо документирован, уязвим и при этом по-прежнему стоит у пользователей дома. Когда 75% скомпрометированных устройств одна и та же модель, это сигнал для владельцев: конкретно ваш роутер с большой вероятностью либо уже заражён, либо станет лёгкой добычей. CVE-2016-5681 больше десяти лет как известен, защиты производителя нет, а подключение к глобальной бот-сети превращает его в ретранслятор для чужой разведки, без ведома хозяина.
Из всего этого следует простой вывод: старый роутер это устаревшая техника и постоянная точка входа в вашу сеть для тех, кто умеет этим пользоваться. И пока устройство физически работает и подключено к интернету, оно остаётся частью чужой инфраструктуры.