Menace AryStinger : un botnet utilise des routeurs obsolètes pour espionner des données.

Un botnet inconnu, dénommé AryStinger, a été révélé par les chercheurs du laboratoire XLab de l’entreprise de cybersécurité chinoise Qianxin. Ce malware, détecté le 17 juin 2026, utilise des vulnérabilités anciennes pour infiltrer des milliers de routeurs, transformant ces appareils en outils de surveillance à l’échelle mondiale.

La traque des botnets est complexe, car ces réseaux de machines compromises se reconstituent rapidement. Un exemple marquant est le botnet AVrecon, qui avait infecté plus de 70 000 routeurs Linux avant d’être neutralisé en 2023. Aujourd’hui, ces mêmes équipements sont de nouveau ciblés.

AryStinger a pour objectif de réaliser une reconnaissance préalable à l’intrusion. Chaque routeur infecté agit comme un « executor », recevant des tâches fractionnées depuis un serveur de commande. Cela permet à l’attaquant de disposer d’une infrastructure de cartographie réseau distribuée, rendant l’attribution des attaques difficile.

Le malware se décline en deux variantes : la première, écrite en C, exploite des vulnérabilités spécifiques pour cibler des routeurs D-Link et Linksys anciens, tandis que la seconde, développée en Go, s’attaque aux périphériques NAS. Cette dernière intègre des outils de pénétration open source et permet l’exécution à distance de code, laissant une porte dérobée sur l’appareil compromis.

Actuellement, plus de 4 300 routeurs sont déjà infectés, avec une concentration notable des infections en Corée du Sud, suivie de la Chine, de la Suède, de la Malaisie et de Singapour. Le modèle DIR-850L représente 75 % des appareils touchés.

Les chercheurs soulignent l’importance de mettre à jour le firmware des routeurs, car un appareil non entretenu peut devenir un outil au service d’attaquants. Aucune attribution des opérateurs de ce botnet n’a encore été établie, mais la communauté est encouragée à partager ses informations.

Source : XLab