2026-06-22 00:00
← VoltarUma nova família de malware está transformando roteadores domésticos esquecidos em uma rede distribuída de reconhecimento e proxy, e não na botnet DDoS em que esses dispositivos geralmente acabam. O XLab da QiAnXin chama isso de AryStinger e conta pelo menos 4.300 roteadores infectados, um total que diz ainda estar aumentando. A distinção é importante. O AryStinger existe para o estágio de um ataque que ocorre antes da invasão. Os dispositivos infectados verificam a Internet, serviços de impressão digital, enumeram subdomínios, encapsulam o tráfego e executam comandos sob demanda e, em seguida, enviam os resultados de volta à operadora. Cada roteador se torna um nó de pegada e um retransmissor que esconde onde está o verdadeiro invasor. A campanha vai atrás de roteadores construídos em chips RTL819X da Realtek, hardware que estava em vigor entre 2012 e 2015. O XLab o viu pela primeira vez em 12 de março de 2026, espalhando-se a partir de um único IP, 107.150.106.14.
O binário que ele empurrou foi um Linux ELF que nenhum mecanismo do VirusTotal sinalizou, explorando duas falhas de outra época: CVE-2013-3307 nos modelos Linksys e CVE-2016-5681 nos modelos D-Link. O pool infectado é principalmente D-Link, com o DIR-850L sozinho representando cerca de 75 por cento. Por geografia, inclina-se para a Coreia do Sul (cerca de 48 por cento) e para a China (cerca de 32 por cento), depois para a Suécia, Malásia e Singapura. Uma segunda cepa apareceu em 26 de abril, direcionada às caixas...
Uma nova família de malware está transformando roteadores domésticos esquecidos em uma rede distribuída de reconhecimento e proxy, e não na botnet DDoS em que esses dispositivos geralmente acabam. O XLab da QiAnXin chama isso de AryStinger e conta pelo menos 4.300 roteadores infectados, um total que diz ainda estar aumentando. A distinção é importante. O AryStinger existe para o estágio de um ataque que ocorre antes da invasão. Os dispositivos infectados verificam a Internet, serviços de impressão digital, enumeram subdomínios, encapsulam o tráfego e executam comandos sob demanda e, em seguida, enviam os resultados de volta à operadora. Cada roteador se torna um nó de pegada e um retransmissor que esconde onde está o verdadeiro invasor. A campanha vai atrás de roteadores construídos em chips RTL819X da Realtek, hardware que estava em vigor entre 2012 e 2015. O XLab o viu pela primeira vez em 12 de março de 2026, espalhando-se a partir de um único IP, 107.150.106.14.
O binário que ele empurrou foi um Linux ELF que nenhum mecanismo do VirusTotal sinalizou, explorando duas falhas de outra época: CVE-2013-3307 nos modelos Linksys e CVE-2016-5681 nos modelos D-Link. O pool infectado é principalmente D-Link, com o DIR-850L sozinho representando cerca de 75 por cento. Por geografia, inclina-se para a Coreia do Sul (cerca de 48 por cento) e para a China (cerca de 32 por cento), depois para a Suécia, Malásia e Singapura. Uma segunda cepa apareceu em 26 de abril, direcionada às caixas NAS da QNAP por meio do CVE-2025-11837, uma falha de injeção de código no Removedor de Malware da QNAP. O bug foi mostrado na Pwn2Own Ireland 2025 e corrigido em novembro de 2025, meses antes desta cepa começar a usá-lo. A entrada é a ferramenta de remoção de malware do próprio dispositivo. O XLab não mediu as infecções de NAS, então o número de 4.300 abrange apenas roteadores RTL819X. Uma construção é enxuta e a outra é mais completa.
A construção do roteador é escrita em C e mantida leve, porque o hardware antigo não pode funcionar mais, então ele se limita à varredura de DNS em massa e ao tunelamento de tráfego. A construção do NAS é escrita em Go e faz muito mais. Ele verifica redes internas e externas e executa ferramentas de reconhecimento como fscan, ksubdomain e httpx. Uma tarefa "ScriptWork" executa código-fonte Go, Java ou Python fornecido pelo invasor na caixa, para que o operador nunca precise compilar um binário por destino. Cada nó infectado, que o XLab chama de Executor, se comunica com seu C2 por HTTP/HTTPS, com tráfego codificado em Protobuf ofuscado por um simples XOR (a versão Go adiciona gzip). O operador divide uma grande varredura em partes e as espalha pela frota, ocupando a área em paralelo. XLab diz que a mesma varredura de DNS pode ser direcionada a resolvedores para gerar tráfego de negação de serviço. A persistência vem de um servidor Dropbear SSH em uma porta fixa, 2332 em roteadores ou gs-netcat em NAS.
A chave codificada, sh_#@!_2024_secret, carrega um "2024" que pode apontar para um início em 2024, embora o XLab não possa confirmá-lo. A forma é familiar. Em maio de 2025, o FBI e o Departamento de Justiça destruíram os serviços 5socks e Anyproxy, que transformaram roteadores Linksys e Cisco antigos que executavam o malware TheMoon em proxies residenciais vendidos por mês. A versão de espionagem parece a mesma. A Mandiant rastreou redes operacionais de caixas de retransmissão, ou ORBs: malhas de roteadores comprometidos em fim de vida e IoT que os atores estatais usam para escanear e retransmitir, ao mesmo tempo em que são difíceis de rastrear. ORBs de roteadores recentes, como dispositivos LapDogsfarm, passam por bugs de n dias, como faz o AryStinger. AryStinger ainda não está vinculado a ninguém e o XLab diz que ainda está trabalhando para descobrir quem está por trás disso. O que está claro é o modelo: hardware esquecido, CVEs antigos, transformados em infraestrutura silenciosa para os movimentos iniciais de uma intrusão.
Se você usar qualquer um dos equipamentos afetados, as verificações serão simples. Procure conexões de saída para o C2 do AryStinger e domínios de download (o ajb8.com e hosts relacionados na lista IOC do XLab), verifique /tmp/bin para binários que você não colocou lá e procure por processos chamados syswapd0h ou syswapd0w. A solução durável é aquela que todos repetem: aposentar roteadores em fim de vida que não recebem mais firmware e desativar a administração remota de qualquer coisa exposta. Uma caixa que parou de receber patches em 2016 não vai começar agora. Aprenda como descobrir IA oculta em você assim, veja quais dados ele pode acessar, mapeie cada ação de IA para um proprietário humano e aplique governança prática sem grandes mudanças na infraestrutura. Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.