Angriffe auf D-Link-Router

Botnetz AryStinger infiziert tausende Router weltweit

Router
LinkedInRedditWhatsApp

Das neu entdeckte Botnetz AryStinger hat weltweit über 4000 veraltete Router infiziert. Die Malware nutzt die Geräte als Proxys für Cyberangriffe.

Das IT-Sicherheitsforschungsteam XLab von Qianxin hat ein bislang undokumentiertes Schadsoftware-Botnetz namens AryStinger entdeckt. Die Malware hat weltweit mehr als 4000 veraltete Router kompromittiert, um diese in ferngesteuerte Proxysysteme für kriminellen Datenverkehr zu verwandeln. Die infizierten Geräte agieren als Ausführer von Befehlen, die Scans, Tunneling und den Diebstahl von Daten im Netzwerk ermöglichen.

Anzeige

Die Forscher von XLab erklärten zur verteilten Architektur des Netzwerks: „Der Angreifer kann eine gewaltige Scan-Aufgabe in mehrere kleine Stücke aufteilen und sie zur parallelen Ausführung an verschiedene Executors verteilen.“ Durch dieses Design können die Akteure die Aufklärung von Zielnetzwerken beschleunigen. Neben der Nutzung als Sprungbrett manipuliert AryStinger die DNS-Einstellungen der Router, um den Datenverkehr der Nutzer umzuleiten und sämtliche ein- und ausgehenden Datenströme unbemerkt zu überwachen.

Betroffene Router und geografische Schwerpunkte

Die Angreifer nutzen gezielt ältere Sicherheitslücken wie CVE-2013-3307, CVE-2016-5681 und CVE-2025-11837 aus. Die Kampagne richtet sich primär gegen die Router-Modelle DIR-850L und DIR-818LW des Herstellers D-Link. Beide Modelle wurden bereits im Jahr 2023 von einem anderen Botnetz namens AVrecon attackiert.

Die telemetrischen Daten von Qianxin zeigen eine klare geografische Verteilung der aktiven Infektionen:

Anzeige
  • Südkorea: 48,5 Prozent
  • China: 31,8 Prozent
  • Schweden: 6,4 Prozent
  • Malaysia: 3,5 Prozent
  • Singapur: 2,5 Prozent

Technische Unterschiede zwischen den Schadsoftware-Varianten

Die Analysten identifizierten zwei verschiedene Varianten der AryStinger-Malware. Die erste Variante basiert auf der Programmiersprache C und zielt hauptsächlich auf die genannten veralteten Router ab. Die zweite Variante ist in Go geschrieben und nimmt Netzwerkspeicher (NAS-Systeme) ins Visier, weist derzeit jedoch eine geringere Verbreitung auf.

Die Go-basierte NAS-Version verfügt über erweiterte Funktionen wie interne Netzwerkaufklärung durch integrierte Open-Source-Penetrationstest-Werkzeuge sowie IP- und DNS-Scans. Zudem unterstützt diese Variante die direkte Ausführung von Shell-Befehlen sowie Quellcode in den Sprachen Go, Java und Python. Da die Ausführung von unkompiliertem Quellcode jedoch die Installation entsprechender Laufzeitumgebungen auf den Zielsystemen erfordert, erzeugt dieser Prozess eine höhere Sichtbarkeit im System, was die Tarnung der Angreifer gefährden kann. Eine Zuordnung der Kampagne zu einer bekannten Hackergruppe konnte bislang nicht vorgenommen werden.

(red)


Anzeige
Router
23. Juni 2026
Botnetz AryStinger infiziert tausende Router weltweit
Berufsausstieg
23. Juni 2026
Jeder Dritte erwägt Berufsausstieg aus Angst vor KI
Trump
23. Juni 2026
Trump treibt Entwicklung von Quantencomputern per Erlass voran
Verbraucherschutz
23. Juni 2026
Land reagiert auf Cyberangriffe mit Schutzprogramm für KMU

Weitere Artikel

Amazon Prime Day 2026: Schnäppchenjagd beginnt, Betrugsversuche auch
Online-Shopping: Jeder dritte Käufer verliert Geld an Betrüger
Wer ist die Hackergruppe Shinyhunters?
Firmen fürchten sofortigen Umsatzverlust durch Cyberangriffe
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.