- QiAnXin XLab presenta “AryStinger”, malware que explota vulnerabilidades en enrutadores D-Link/Linksys antiguos (CVE‑2013‑3307, CVE‑2016‑5681) para crear una red de proxy/reconocimiento
- Con 4.300 enrutadores infectados hasta el momento, principalmente en Corea del Sur (48%) y China (32%), los dispositivos NAS de QNAP también son atacados a través de CVE-2025-11837.
- Los dispositivos comprometidos permiten el escaneo, la creación de túneles y el control encubierto; Los investigadores recomiendan monitorear registros, archivos binarios y procesos sospechosos en /tmp/bin syswapd0h o syswapd0w
Los investigadores de ciberseguridad QiAnXin XLab advierten sobre una campaña en curso para crear una red distribuida de reconocimiento y proxy a partir de los enrutadores y dispositivos NAS de las personas.
La campaña se dirige a enrutadores más antiguos y no compatibles (principalmente D-Link y Linksys), impulsados por el chip RTL819X de Realtek, que fue una opción popular entre 2012 y 2015. Los atacantes modelaron dos vulnerabilidades (antiguas), CVE-2013-3307 en Links-613-3307 y CVE-2013. D-links, para infectar dispositivos con un malware no descubierto previamente llamado Arrestinger.
Según los investigadores, Aristinger se utiliza en las etapas de recuperación y planificación de ciberataques más graves. Los dispositivos infectados con este malware pueden escanear Internet, servicios de huellas dactilares, enumeración de subdominios, tráfico de túneles y comandos bajo demanda mientras ocultan la ubicación (y la verdadera identidad) de los atacantes.
Dirigirse a dispositivos NAS
“Una vez comprometido por malware como Aristinger, que posee capacidades de reconocimiento y control encubierto, es el equivalente a que un hacker coloque un “dispositivo de escucha invisible” permanente y un “trampolín de ataque” dentro de su red, dijeron los investigadores.
XLab de QiAnXin dice que hasta ahora, Aristinger ha infectado 4.300 enrutadores, pero enfatiza que este no es el número final y aumentará a medida que continúe la campaña.
La mayoría de las víctimas se encuentran en Corea del Sur (48%) y China (32%), con menciones destacadas en Suecia, Malasia y Singapur.
Aristinger también apunta a los dispositivos NAS de QNAP, explotando una falla de inyección de código en el eliminador de malware del dispositivo. La falla, rastreada como CVE-2025-11837, se descubrió por primera vez durante el evento Pwn2Own del año pasado y se corrigió en noviembre de 2025. Los investigadores no saben cuántos de estos dispositivos están infectados actualmente, y el número 4300 se relaciona solo con enrutadores.
Los investigadores no atribuyeron este ataque a ningún actor de amenaza específico.
Para protegerse contra Aristinger, los investigadores recomiendan descargar C2 y dominios (que se encuentran aquí), verificar /tmp/bin en busca de archivos binarios desconocidos y monitorear registros para buscar procesos llamados syswapd0h o syswapd0w.
a través de Noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
