Uma nova família de malware está transformando roteadores domésticos esquecidos em uma rede distribuída de reconhecimento e proxy, em vez da botnet de DDoS (negação de serviço) na qual esses dispositivos geralmente acabam. O XLab, da QiAnXin, a batizou de AryStinger e contabiliza pelo menos 4.300 roteadores infectados, número que, segundo a empresa, segue em alta.
A distinção importa. O AryStinger existe para a fase de um ataque que antecede a invasão. Os dispositivos infectados varrem a internet, mapeiam serviços, enumeram subdomínios, encapsulam tráfego e executam comandos sob demanda, devolvendo os resultados ao operador.
Cada roteador se transforma em um nó de mapeamento e em um relay que oculta a localização do atacante real.
Chips antigos, falhas ainda mais velhas
A campanha mira roteadores construídos sobre os chips RTL819X da Realtek, hardware que era referência entre 2012 e 2015. O XLab identificou a operação pela primeira vez em 12 de março de 2026, a partir de um único IP, 107.150.106.14.
O binário distribuído era um ELF (formato executável do Linux) que nenhum motor do VirusTotal sinalizou, explorando duas falhas de outra era: a CVE-2013-3307 em modelos Linksys e a CVE-2016-5681 em equipamentos D-Link.
O grupo infectado é composto majoritariamente por dispositivos D-Link, com o DIR-850L representando cerca de 75% do total. Em termos geográficos, a maior concentração está na Coreia do Sul (cerca de 48%) e na China (cerca de 32%), seguidos por Suécia, Malásia e Singapura.
Uma segunda variante surgiu em 26 de abril, com foco em NAS (servidores de armazenamento em rede) da QNAP, por meio da CVE-2025-11837, uma falha de injeção de código no Malware Remover da QNAP. A vulnerabilidade foi demonstrada no Pwn2Own Ireland 2025 e corrigida em novembro de 2025, meses antes de ser explorada por essa variante.
O vetor de entrada é justamente a ferramenta de remoção de malware do próprio equipamento. O XLab ainda não mensurou as infecções em NAS, então o número de 4.300 se refere apenas aos roteadores com RTL819X.
Duas versões, mesma função
Uma versão é enxuta, a outra é mais completa. A versão para roteadores é escrita em C e mantida leve porque o hardware antigo não roda muito mais do que isso, limitando-se a varreduras massivas de DNS (sistema de nomes de domínio) e tunelamento de tráfego. A versão para NAS é escrita em Go e faz muito mais: varre redes internas e externas e executa ferramentas de reconhecimento como fscan, ksubdomain e httpx. Uma tarefa chamada "ScriptWork" executa código-fonte em Go, Java ou Python enviado pelo atacante direto no dispositivo, eliminando a necessidade de compilar um binário por alvo.
Cada nó infectado, que o XLab chama de Executor, se comunica com o C2 (servidor de comando e controle) via HTTP/HTTPS, com tráfego codificado em Protobuf e ofuscado por um XOR simples (a versão em Go adiciona gzip). O operador divide uma varredura grande em blocos e distribui a tarefa pela rede, fazendo o mapeamento em paralelo.
Segundo o XLab, a mesma varredura de DNS pode ser direcionada a resolvedores para gerar tráfego de negação de serviço. A persistência vem de um servidor SSH (Secure Shell) Dropbear em porta fixa, 2332 nos roteadores, ou do gs-netcat nos NAS. A chave hardcoded, sh_#@!_2024_secret, traz um "2024" que pode indicar o início das operações ainda em 2024, embora o XLab não consiga confirmar.
Onde isso se encaixa
O formato é familiar. Em maio de 2025, o FBI (polícia federal americana) e o Departamento de Justiça dos Estados Unidos derrubaram os serviços 5socks e Anyproxy, que transformavam roteadores Linksys e Cisco antigos, infectados pelo malware TheMoon, em proxies residenciais vendidos por assinatura. A versão voltada para espionagem tem aparência muito semelhante.
A Mandiant acompanha redes de caixas-relay operacionais, ou ORBs: malhas de roteadores e dispositivos IoT (internet das coisas) fora de suporte usadas por atores estatais para escanear e retransmitir tráfego mantendo o anonimato. ORBs recentes baseados em roteadores, como o LapDogs, recrutam dispositivos por meio de vulnerabilidades n-day (já conhecidas, mas ainda sem correção) da mesma forma que o AryStinger.
O AryStinger ainda não foi atribuído a nenhum grupo, e o XLab afirma que segue trabalhando para identificar os responsáveis. O que está claro é o modelo: hardware esquecido, CVEs antigas, transformados em infraestrutura discreta para os movimentos iniciais de uma intrusão.
O que fazer
Quem administra qualquer um dos equipamentos afetados pode seguir alguns passos simples. Verifique conexões de saída para o C2 do AryStinger e para os domínios de download (ajb8.com e hosts relacionados na lista de IOC (indicadores de compromisso) do XLab), procure binários desconhecidos em /tmp/bin e processos com os nomes syswapd0h ou syswapd0w.
A solução duradoura é a mesma que todo mundo repete: aposente roteadores fora de suporte que não recebem mais firmware e desative o acesso remoto em qualquer equipamento exposto. Um aparelho que parou de receber correções em 2016 não vai começar a recebê-las agora.
