AryStinger Malware
Eine neu entdeckte Malware-Familie namens AryStinger verwandelt ausrangierte Heimrouter in ein groß angelegtes Aufklärungs- und Proxy-Netzwerk – im Gegensatz zu den üblicherweise mit kompromittierten Netzwerkgeräten in Verbindung gebrachten DDoS-Botnetzen. Sicherheitsforscher haben bereits mindestens 4.300 infizierte Router identifiziert, und die Zahl dürfte weiter steigen.
Im Gegensatz zu herkömmlichen Malware-Kampagnen, die auf die Störung von Diensten abzielen, ist AryStinger darauf ausgelegt, die frühen Phasen von Cyberangriffen zu unterstützen. Kompromittierte Geräte werden genutzt, um das Internet zu scannen, laufende Dienste zu identifizieren, Subdomains aufzulisten, Netzwerkverkehr zu tunneln und Befehle remote auszuführen, bevor die gesammelten Informationen an die Betreiber zurückgesendet werden. Jeder infizierte Router dient effektiv sowohl als Aufklärungsknoten als auch als Anonymisierungs-Relay, das den wahren Ursprung des Angreifers verschleiert.
Inhaltsverzeichnis
Ausnutzung alternder Hardware und längst vergessener Sicherheitslücken
Die Kampagne zielt vor allem auf Router ab, die mit Realtek RTL819X-Chipsätzen ausgestattet sind, einer Hardware, die zwischen 2012 und 2015 weit verbreitet war. Forscher beobachteten die Malware erstmals am 12. März 2026, als die Infektionen von einer einzigen IP-Adresse ausgingen.
Die eingesetzte Malware war eine Linux-ELF-Binärdatei, die zunächst von allen Virenscannern auf VirusTotal nicht erkannt wurde. Sie infizierte Systeme durch Ausnutzung zweier älterer Sicherheitslücken:
- CVE-2013-3307 betrifft bestimmte Linksys-Router.
- CVE-2016-5681 betrifft bestimmte D-Link-Geräte.
Die meisten der kompromittierten Systeme sind Produkte von D-Link, wobei das Modell DIR-850L für etwa 75 Prozent der Infektionen verantwortlich ist. Geografisch konzentrieren sich die Infektionen auf Südkorea (48 Prozent) und China (32 Prozent), gefolgt von Schweden, Malaysia und Singapur.
Erweiterung über Router hinaus
Am 26. April 2026 tauchte eine zweite Malware-Variante auf, die QNAP-NAS-Geräte über CVE-2025-11837, eine Code-Injection-Schwachstelle im QNAP-Tool „Malware Remover“, ins Visier nahm. Obwohl die Schwachstelle bereits im November 2025 behoben worden war, nutzten Angreifer sie erst einige Monate später aus.
Ironischerweise ist der Infektionsvektor die Malware-Entfernungsanwendung des NAS-Geräts selbst. Die gemeldete Zahl von 4.300 kompromittierten Systemen umfasst lediglich die infizierten RTL819X-Router und berücksichtigt keine betroffenen NAS-Geräte.
Leichtgewichtige Malware mit leistungsstarken Funktionen
Die Router-Version von AryStinger ist in C geschrieben und aufgrund der begrenzten Ressourcen älterer Hardware bewusst ressourcenschonend gehalten. Ihre Hauptfunktionen sind Massen-DNS-Scans und Traffic-Tunneling.
Die in Go entwickelte NAS-Version bietet deutlich erweiterte Funktionen. Sie kann sowohl interne als auch externe Netzwerke scannen und Aufklärungsprogramme wie fscan, ksubdomain und httpx einsetzen. Eine Funktion namens ScriptWork ermöglicht es Angreifern, von ihnen bereitgestellten Go-, Java- oder Python-Quellcode direkt auf dem infizierten System auszuführen, wodurch die Notwendigkeit entfällt, separate Binärdateien für jedes Zielsystem zu kompilieren.
Die Kommunikation zwischen infizierten Geräten und Command-and-Control-Servern (C2) erfolgt über HTTP und HTTPS mittels Protobuf-kodiertem Datenverkehr, der mit einem einfachen XOR-Verfahren verschleiert wird. Die Go-basierte Variante nutzt zusätzlich gzip-Komprimierung. Umfangreiche Scanvorgänge werden in kleinere Segmente unterteilt und im gesamten Botnetz verteilt, was parallele Aufklärungsoperationen ermöglicht.
Beharrlichkeit und Missbrauchspotenzial
Die Schadsoftware sichert sich dauerhaften Zugriff, indem sie einen Dropbear-SSH-Server auf Port 2332 für Router und gs-netcat auf kompromittierten NAS-Systemen einsetzt. Die Ermittler identifizierten zudem einen fest codierten Authentifizierungsschlüssel mit der Bezeichnung „sh_#@!_2024_secret“. Die darin enthaltene Zahl „2024“ könnte darauf hindeuten, dass die Entwicklung der Schadsoftware in diesem Jahr begann, dies lässt sich jedoch nicht mit Sicherheit bestätigen.
Obwohl die Aufklärung das primäre Ziel zu sein scheint, können die DNS-Scan-Funktionen der Malware bei Bedarf auch auf DNS-Resolver umgeleitet werden, um Denial-of-Service-Traffic zu erzeugen.
Ein bekanntes Muster: Betriebsrelaisboxnetzwerke
Die von AryStinger geschaffene Infrastruktur ähnelt stark Operational Relay Box (ORB)-Netzwerken. Diese Netzwerke bestehen aus kompromittierten, ausgedienten Routern und IoT-Geräten, die es Angreifern ermöglichen, Scans durchzuführen und schädlichen Datenverkehr weiterzuleiten, während sie schwer nachzuverfolgen sind.
Diese Vorgehensweise ähnelt früheren Vorfällen. Im Mai 2025 zerschlugen das FBI und das US-Justizministerium die Dienste 5socks und Anyproxy, die den Zugriff auf private Proxys durch die Ausnutzung veralteter Linksys- und Cisco-Router, die mit der Malware TheMoon infiziert waren, monetarisiert hatten. Auch ORB-Operationen wie LapDogs nutzten in jüngster Zeit ungepatchte Sicherheitslücken in älteren Geräten aus.
Bislang konnte AryStinger keinem bestimmten Angreifer eindeutig zugeordnet werden. Das Vorgehen ist jedoch unverkennbar: Veraltete Hardware und vergessene Sicherheitslücken werden in eine unauffällige Infrastruktur umgewandelt, die die ersten Schritte komplexer Cyberangriffe ermöglicht.
Strategien zur Erkennung und Schadensbegrenzung
Organisationen und Einzelpersonen, die mit potenziell betroffenen Geräten arbeiten, sollten unverzüglich nach Anzeichen einer Gefährdung suchen und langfristige Abhilfemaßnahmen ergreifen.
Die effektivste Verteidigung ist nach wie vor einfach: Netzwerkgeräte, die das Ende ihrer Lebensdauer erreicht haben und keine Firmware-Updates mehr erhalten, sollten ausgemustert und die Fernadministration von Geräten mit Internetverbindung nach Möglichkeit deaktiviert werden. Hardware, die seit Jahren keine Sicherheitsupdates mehr erhält, ist gegen moderne Bedrohungen kaum noch geschützt.