Des milliers de routeurs D-Link compromis par le botnet AryStinger
D’après XLab, le botnet AryStinger a déjà infecté plus de 4 300 routeurs à travers le monde. Les modèles les plus touchés sont les D-Link DIR-850L et DIR-818LW, qui constituent la majorité des appareils compromis, ainsi que quelques modèles Linksys et d’autres références moins courantes de D-Link.
Cette campagne d’infection repose sur des vulnérabilités anciennes, mais toujours exploitables, sur des équipements qui n’ont pas été mis à jour. Parmi les failles citées par XLab, on retrouve la vulnérabilité CVE-2013-3307, qui permet une injection de commandes dans une fonction de diagnostic sur certains routeurs Linksys, et la CVE-2016-5681, un débordement de mémoire affectant l’interface de connexion de plusieurs modèles D-Link.
Une fois le malware installé, il se connecte à un serveur de commande et attend des instructions. Il peut également déployer Dropbear, un serveur SSH léger, pour maintenir un accès à distance au routeur compromis. Les opérateurs peuvent alors utiliser ces appareils pour scanner des ports, identifier des services exposés, rechercher des sous-domaines ou rediriger du trafic en vue de mener des cyberattaques à grande échelle. AryStinger a la capacité de modifier les réglages DNS des routeurs, facilitant ainsi des redirections vers des sites frauduleux, des pages de phishing ou d’autres domaines malveillants, ainsi qu’une surveillance du trafic.
XLab a également identifié une version plus avancée d’AryStinger, écrite en Go, ciblant spécifiquement des serveurs NAS via la vulnérabilité CVE-2025-11837, une faille d’injection de code affectant l’outil QNAP Malware Remover. Cette variante, bien que potentiellement moins répandue, peut scanner les réseaux internes, exécuter des commandes et utiliser des outils de pentest open source.
Source : XLab
