详细内容或原文请订阅后点击阅览
4,300 多个过时路由器被 AryStinger 恶意软件劫持在隐形间谍基础设施中
AryStinger 通过旧缺陷劫持过时的路由器,将 4,300 多个设备转变为隐形网络,用于侦察和入侵支持。 2026 年 3 月 12 日,奇安信的 XLab 威胁检测系统标记了一个 IP 地址 107.150.106.14,通过分别于 2013 年和 2016 年披露的两个漏洞传播 Linux 二进制文件。该二进制文件对 [...] 的检测为零
来源:Security Affairs _恶意软件4,300 多个过时路由器被 AryStinger 恶意软件劫持在隐形间谍基础设施中
AryStinger 通过旧缺陷劫持过时的路由器,将 4,300 多个设备转变为隐形网络,用于侦察和入侵支持。
2026 年 3 月 12 日,奇安信的 XLab 威胁检测系统标记了一个 IP 地址 107.150.106.14,通过分别于 2013 年和 2016 年披露的两个漏洞传播 Linux 二进制文件。该二进制文件在 VirusTotal 上的检测为零。它的目标设备是基于 Realtek RTL819X 芯片构建的路由器,该硬件在 2012 年至 2015 年期间成为主流,此后没有收到任何固件更新。 XLab 将恶意软件家族命名为 AryStinger,基于源代码路径暗示该项目名为 Ary-Attack。
让 AryStinger 与众不同的第一件事是它不做什么。它不加密文件。它不开采加密货币。
“让我们把时间拨回 2026 年 3 月 12 日,当时 XLab 全网络威胁感知系统检测到 IP 107.150.106.14 通过旧漏洞 CVE-2013-3307 和 CVE-2016-5681 传播用 C 语言实现的 VT 0 检测 ELF 样本”,XLab 发布的报告中写道。该活动旨在构建一个用于入侵侦察活动的基础设施集群,具备端口扫描、服务识别、子域名枚举等信息收集能力。
每个受感染的路由器都成为 XLab 所谓的执行器:接收扫描任务的节点,与其他节点并行执行它们,并将结果发送回操作员,同时将攻击者的真实位置隐藏在中继层后面。
对于攻击者来说,缺点是源代码以明文形式写入磁盘,解释器命令行出现在审核日志中,使其比内存中的二进制执行更容易被检测到。
分布式任务架构是操作上巧妙的部分。
皮尔路易吉·帕格尼尼