Des routeurs obsolètes détournés pour espionner en silence
Des chercheurs en cybersécurité ont découvert une campagne transformant des milliers de routeurs obsolètes en un réseau de reconnaissance furtif grâce au malware AryStinger. L’opération exploite des vulnérabilités corrigées depuis longtemps pour recruter discrètement des appareils dans une infrastructure secrète, soutenant des activités d’espionnage.
Une prise de contrôle discrète de matériel oublié
Les chercheurs du XLab de QiAnXin ont identifié plus de 4 300 routeurs compromis — principalement des modèles anciens de D-Link — par AryStinger. Le malware exploite deux failles de longue date, les CVE-2013-3307 et CVE-2016-5681, connues du public depuis plus de dix ans. Ces vulnérabilités résident dans les routeurs basés sur le chipset RTL819X de Realtek, un matériel courant entre 2012 et 2015 mais qui n’a plus reçu de mises à jour logicielles depuis des années. Crucialement, le binaire utilisé dans cette campagne a échappé à la détection sur VirusTotal, soulignant le caractère furtif de la menace.
De l’infection à la collecte de renseignements
Une fois installé, AryStinger transforme chaque routeur compromis en ce que XLab appelle un « Exécuteur ». Ces nœuds reçoivent des tâches de balayage — comme l’analyse de ports, l’identification de services et l’énumération de sous-domaines —, les exécutent en parallèle avec d’autres appareils infectés, puis transmettent les résultats à l’attaquant. Une couche de relais masque l’emplacement de l’opérateur, rendant la campagne plus difficile à retracer. Le réseau infecté est fortement concentré en Corée du Sud (48 %), en Chine (32 %) et dans plusieurs pays d’Asie du Sud-Est, des régions où le matériel routage vieillissant reste répandu.
Deux versions, deux niveaux de sophistication
XLab a identifié deux versions distinctes d’AryStinger. La première, écrite en C, cible les routeurs RTL819X et est allégée pour fonctionner sur du matériel limité. Elle se concentre sur le balayage massif de DNS et le tunneling de trafic, communique avec son serveur de commande via HTTP en utilisant des messages encodés en Protobuf et obscurcis par chiffrement XOR, et maintient sa persistance en installant Dropbear SSH sur le port 2332. Une seconde version, plus avancée et écrite en Go, est apparue fin avril et cible les appareils NAS via une faille QNAP récemment corrigée (CVE-2025-11837), démontrant une exploitation rapide des correctifs. Cette version intègre plusieurs outils de reconnaissance, dont fscan pour le balayage des réseaux internes et ScriptWork, qui permet à l’attaquant d’exécuter du code personnalisé directement sur les systèmes infectés.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.