Специалисты по информационной безопасности столкнулись с новой угрозой, использующей оборудование, которое давно выработало свой ресурс. 20 мая 2026 года пресс-служба Министерства государственной безопасности Китая предупредила об использовании устаревших маршрутизаторов в качестве "трамплина" для кибершпионажа со стороны зарубежных спецслужб. Однако, как выяснилось, проблема гораздо шире: аналитики компании Qi-Anxin XLab зафиксировали масштабную кампанию по скрытому заражению устройств на чипах RTL819X, которые были популярны в 2012-2015 годах.
Описание
Обнаруженная вредоносная программа, получившая название AryStinger, не просто превращает уязвимые маршрутизаторы в элемент ботнета - она строит из них полноценную инфраструктуру для разведки и скрытых атак. Первые признаки активности были зафиксированы 12 марта 2026 года. Система мониторинга Qi-Anxin зарегистрировала попытки эксплуатации старых уязвимостей CVE-2013-3307 и CVE-2016-5681. Обе бреши относятся к маршрутизаторам Linksys и D-Link, выпущенным более десяти лет назад. Злоумышленники распространяли образец ELF, написанный на C, который не обнаруживался ни одним антивирусным движком на платформе VirusTotal. Позже, 26 апреля, был обнаружен вариант для NAS-устройств, использующий свежую уязвимость CVE-2025-11837 и написанный на Go. В коде этого образца был найден путь, указывающий на кодовое название проекта - Ary-Attack.
Предоставленный отчёт XLab описывает архитектуру AryStinger как типичный бот с расширенными возможностями. Вредоносная программа связывается с командным сервером C2 по протоколам HTTP/HTTPS. Трафик кодируется с помощью Protobuf, а затем дополнительно шифруется простым XOR. После прохождения аутентификации на сервере устройство получает уникальный идентификатор Executor ID и переходит в режим ожидания команд. AryStinger поддерживает широкий спектр задач: сканирование внутренних и внешних сетей, туннелирование трафика, выполнение системных команд, загрузку полезной нагрузки на языках Go, Java и Python, а также установку постоянного удалённого доступа через dropbear или gs-netcat.
Особую опасность представляет распределённая архитектура управления. Злоумышленник может разбить одну масштабную задачу (например, перебор поддоменов для всего домена верхнего уровня) на тысячи мелких фрагментов и поручить их выполнение разным Executor-ам. Это позволяет эффективно вести разведку перед основной атакой, минимизируя время и повышая вероятность успеха. Согласно данным Qi-Anxin из системы картографии интернета Eagle Map, на момент публикации зафиксировано не менее 4300 заражённых маршрутизаторов, и это число продолжает расти. Оценка инфекции NAS-устройств отсутствует. Более 75% заражений пришлось на модель D-Link DIR-850L. Географически лидерами стали Южная Корея (48,45%), Китай (31,82%) и Швеция (6,40%). Примечательно, что в сети AryStinger используется жёстко закодированный ключ шифрования sh_#@!_2024_secret. Указание года 2024 может свидетельствовать о том, что кампания началась задолго до обнаружения.
Многофункциональность AryStinger позволяет атакующим реализовать тройную угрозу. Во-первых, перехват и мониторинг всего проходящего трафика: от личной переписки до служебных документов. Во-вторых, подмена DNS-ответов с перенаправлением пользователей на фишинговые, порнографические или загрузочные страницы с другим вредоносным кодом. В-третьих, использование заражённого маршрутизатора в качестве промежуточной точки для атак на другие цели. Поскольку реальный источник остаётся скрытым за десятками скомпрометированных устройств, такие атаки практически невозможно отследить.
Особую тревогу вызывает низкая детектируемость образцов. Основные коммерческие антивирусные системы не идентифицируют ни сам исполняемый файл, ни связанные с ним серверы C2. Этот фактор в сочетании с высокой потенциальной опасностью делает AryStinger серьёзным вызовом для глобального сообщества безопасности. XiaLab уже начали более глубокое исследование группировки, стоящей за этой кампанией, и призвали коллег к обмену данными.
Пользователям, особенно сотрудникам организаций, имеющим доступ к критической информации, рекомендуется немедленно проверить свои сети. Первый признак инфицирования - наличие сетевых соединений с доменами, перечисленными в индикаторах компрометации. Второй - присутствие в файловой системе каталога /tmp/bin с подозрительными файлами. Третий - запущенные процессы syswapd0h или syswapd0w. Если хотя бы один из этих признаков обнаружен, устройство следует немедленно отключить от сети и заменить на более новую модель с актуальными прошивками. Затягивание с заменой устаревших маршрутизаторов, особенно тех, которые выпускались до 2015 года, создаёт недопустимый риск для всей корпоративной или государственной инфраструктуры.
Индикаторы компрометации
IPv4
- 107.150.106.14
Domains
- hgodpcx.ajb8.com
- hgodpcx.auq8.com
- io.ary2.com
URLs
- http://eixfi.ajb8.com
- http://hgodpcx.ajb8.com/prod/RTL819X/{version}/syswapd0
- http://opi7.com
- http://xonice.ahb8.com
- http://xook.ajb8.com
- https://dybic.ajb8.com
- https://hgodpcx.ajb8.com/prod/RTL819X/{version}/manifest.json
- https://hgodpcx.ajb8.com/prod/standard/{version}/manifest.json
- https://hgodpcx.ajb8.com/prod/standard/{version}/syswapd0-linux-amd64
- https://sdkv1.dataexplore.cc
- https://sdkv1.dataexplore.co
MD5
- 05627d1bddb7292bb45139244f46051f
- 0627f034c42549e2130734b5f8dbf854
- 0a2d2a4ec1ca2aa6a23a35abb5a75451
- 0ffb4b4e430f4b69216fb9d2e082e482
- 10ba24db187836efe77ed7e75d279d33
- 16fed5909de4f50351fc33fbfcf156df
- 18f894a3168ee0b809eed321a2e748b4
- 19232d0eff3ef7aee3b5d7620c72358c
- 36ff9f683e870145aaf5a715bc934762
- 44805c4b36bd3d97ba8ecaf6fe103572
- 4c80d17fa5db5b1c2aaddb5351e9cb6b
- 5d9cdb072415b191df3f444f53b2ff4b
- 6869f24aecd75e2144aba8dc03dc2d0f
- 6f761f63642cd6329a29cfad80be50c3
- 6f91d1f8f0cbaab137351936b52f7a94
- 7461445fca3f9d8911148e0908d33c3b
- 7b361a6d0d42309d09ec9000b53712b3
- 7f2b2e3516fa454adfd51f857ae80adf
- 8cc249b16adf7e4a658af7fa31d7998e
- 8deb2a60d42de0f8f8786e485d2f046f
- 8edb3ea62a7e643ba1a88d20799cf94f
- 9221423d7daff9e64f7e2af54f911fea
- 9660895fa3fcabbef466703636f6d51d
- 98e55d712a99d2cd45e8592c6dda5110
- 9973676bfa9fe89aa5c76e3cd0b21ae8
- a2d54fcd0c2816f607a5962523fc648c
- a3181550e0e0a6153a44b7a0495535b0
- a3e3197e2344c51e95c063541ea22205
- a5101caf0a1789d6a4bc30e644d6b152
- a97e552f5e655e1cfa56853f65beeb0e
- abae20b26b70b526bebb5e2617092ede
- b0f4f813a9de094c06821366e2459aee
- b104a05e8a2e218adfb7654ba8bf3d49
- b9406e969cdfdaef433e93d0b9ad1f5d
- c113739225ece5f6e4805466dec1401d
- d2fd89ebdad493ec9ac76ce35213cec4
- d79270ba44e665ebb0383eb77a52e38b
- d997efa98afab2c003654b8d5ce2bedf
- dbcc5a3e6afe41060d6357e24dc03fd3
- dbdd4d8e4aef3ce69cf65ed470425c89
- dc35086ba0f5f83545c32a023a1f3be4
- dc71c10ca0b2c83b6b3a6a062fca314f
- dd1e5a3cd9f842bd70be45a62c3ebbf6
- df0c9f6289e56f31c0700f40590857d3
- e9916ff56074725f5739ead5091fe6c7
- ea2fe3b409da439aec25cf7eabf5b7a7
- ed9209111b995cbe78f8e097c289f127
- f093891e281bcd9c8016dea7d89cc671
- fc4cee066d8526f5806bb23278f647da
- fcc9de5c040307e6ac3011e8b379f6d9
- ff11e000f377c54dea928b09ebad9df8
- fffcbd0ac2cb545496890f50395181ff