AryStinger: nuova botnet infetta oltre 4.000 router D-Link
Topic
Approfondimenti
Trending
tutti

AryStinger: nuova botnet infetta oltre 4.000 router D-Link

AyrStinger è una nuova botnet che sfrutta le vulnerabilità di vecchi router D-Link (non più supportati) per nascondere la provenienza del traffico.
AryStinger: nuova botnet infetta oltre 4.000 router D-Link
Sicurezza
AyrStinger è una nuova botnet che sfrutta le vulnerabilità di vecchi router D-Link (non più supportati) per nascondere la provenienza del traffico.
Google AI Studio
Aggiungi Punto Informatico come Fonte preferita su Google

I ricercatori cinesi di XLab (Qianxin) hanno rilevato una nuova botnet, denominata AryStinger, formata da oltre 4.000 vecchi router D-Link con chip RTL819X (anche alcuni Linksys). L’infezione è avvenuta sfruttando vulnerabilità del 2013 e del 2016, per le quali non sono state rilasciate patch (i dispositivi non sono più supportati dal produttore taiwanese). Esiste anche una variante che prende di mira i NAS.

La botnet, individuata a marzo, sfrutta le vulnerabilità CVE-2013-3307 e CVE-2016-5681. Leggendo le date è chiaro che si tratta di vecchi bug, per i quali il produttore non ha rilasciato una patch perché i router non sono più supportati. Le tracce di AryStinger sono state rilevate nei D-Link DIR-850L, DIR-818L/LW, DIR-817LW e DIR-816L che si trovano principalmente in Corea del Sud e Cina (circa 4.300 unità).

I ricercatori hanno scoperto due varianti. La più diffusa è quella per i suddetti router con chip RTL819X. AryStinger comunica con il server C2 (command and control), al quale invia le informazioni dei dispositivi e dal quale attende la ricezione dei comandi. A differenza di altre botnet usate per eseguire attacchi DDoS, AryStinger viene utilizzata per effettuare la scansione della rete, l’identificazione dei servizi e il forwarding del traffico (i router diventano proxy residenziali) per nascondere la reale provenienza.

Ogni dispositivo viene trasformato in “esecutore” e i cybercriminali possono suddividere i compiti per l’esecuzione in parallelo. Il malware può anche stabilire una persistenza tramite SSH, cambiare le impostazioni DNS, dirottare il browser verso siti infetti e monitorare il traffico per rubare informazioni sensibili.

I vecchi router di D-Link sono spesso sfruttati per creare botnet, tra cui Mirai e AVrecon (smantellata nel 2023, ma ripristinata nei mesi successivi).

La seconda variante della botnet sfrutta la vulnerabilità CVE-2025-11837 dei NAS QNAP. È meno diffusa, ma più avanzata. Può effettuare la scansione degli indirizzi IP e DNS, eseguire comandi e scaricare altri malware.

Gli utenti devono sempre installare l’ultima versione dei firmware, cambiare la password predefinita e disattivare la gestione remota. I router non più supportati dai produttori dovrebbero essere sostituiti.

Fonte: Bleeping Computer

Pubblicato il 22 giu 2026

Link copiato negli appunti

Ti potrebbe interessare

Malware in progetti open source: retrogaming pericoloso

Malware in progetti open source: retrogaming pericoloso
I chatbot non sono amici e gli agenti AI sono backdoor

I chatbot non sono amici e gli agenti AI sono backdoor
Surfshark è in offerta: VPN, Antivirus, Anti-Tracker e AdBlocker da 2,49€ con 3 mesi extra

Surfshark è in offerta: VPN, Antivirus, Anti-Tracker e AdBlocker da 2,49€ con 3 mesi extra
WhatsApp: attenzione alla nuova truffa degli hotel

WhatsApp: attenzione alla nuova truffa degli hotel
Malware in progetti open source: retrogaming pericoloso

Malware in progetti open source: retrogaming pericoloso
I chatbot non sono amici e gli agenti AI sono backdoor

I chatbot non sono amici e gli agenti AI sono backdoor
Surfshark è in offerta: VPN, Antivirus, Anti-Tracker e AdBlocker da 2,49€ con 3 mesi extra

Surfshark è in offerta: VPN, Antivirus, Anti-Tracker e AdBlocker da 2,49€ con 3 mesi extra
WhatsApp: attenzione alla nuova truffa degli hotel

WhatsApp: attenzione alla nuova truffa degli hotel
Luca Colantuoni
Pubblicato il
22 giu 2026
Link copiato negli appunti