Una nuova botnet, denominata AryStinger, ha compromesso oltre 4.000 router obsoleti a livello globale, trasformandoli in proxy utilizzati per attività malevole e controllo remoto.
Secondo i ricercatori di Qianxin, il malware converte i dispositivi infetti in “executor” che possono essere coordinati per eseguire scansioni di rete, attività di proxy, tunneling e comandi distribuiti, rendendo gli attacchi più rapidi ed efficienti. AryStinger sfrutta vulnerabilità già note e non aggiornate presenti soprattutto su router D-Link DIR-850L e D-Link DIR-818LW, e in alcuni casi può anche alterare le impostazioni DNS, intercettare il traffico e dirottare la navigazione degli utenti.
Il malware si distingue per un’architettura distribuita che permette di suddividere i compiti tra molti dispositivi compromessi, aumentando la capacità di ricognizione delle reti bersaglio.
Le infezioni risultano concentrate principalmente in Asia, con Corea del Sud e Cina in testa, seguite da altri Paesi come Svezia, Malesia e Singapore.
I ricercatori hanno individuato più varianti del malware, inclusa una versione più avanzata in grado di colpire anche sistemi NAS e di eseguire codice remoto più complesso.
Gli esperti raccomandano di sostituire i dispositivi fuori supporto, aggiornare il firmware, modificare la password predefinita dell’account amministratore e disattivare l’accesso remoto quando non necessario.
