Dispositivos abandonados, vulnerabilidades olvidadas
Una nueva familia de malware está convirtiendo routers domésticos olvidados en una red distribuida de reconocimiento y proxy, y no en un botnet de DDoS como suele ser habitual. QiAnXin XLab la ha denominado AryStinger y contabiliza al menos 4.300 routers infectados, una cifra que sigue aumentando. La diferencia es crucial: AryStinger existe para la fase del ataque previa a la intrusión. Los dispositivos infectados escanean Internet, identifican servicios, enumeran subdominios, tunelizan tráfico y ejecutan comandos bajo demanda, enviando los resultados al operador. Cada router se convierte en un nodo de reconocimiento y un relé que oculta la ubicación real del atacante.
Chips antiguos, vulnerabilidades más antiguas
La campaña ataca routers basados en chips Realtek RTL819X, hardware que estuvo vigente entre 2012 y 2015. XLab detectó la actividad por primera vez el 12 de marzo de 2026, propagándose desde una única IP, 107.150.106.14. El binario distribuido era un ELF de Linux que ningún motor de VirusTotal detectó, explotando dos vulnerabilidades de otra época: CVE-2013-3307 en modelos Linksys y CVE-2016-5681 en modelos D-Link. El grupo infectado es mayoritariamente D-Link, siendo el DIR-850L el responsable de aproximadamente el 75% de los casos. Por geografía, se concentra en Corea del Sur (alrededor del 48%) y China (alrededor del 32%), seguido de Suecia, Malasia y Singapur. Una segunda variante apareció el 26 de abril, dirigida a NAS QNAP mediante CVE-2025-11837, un fallo de inyección de código en Malware Remover de QNAP. El agujero se presentó en Pwn2Own Ireland 2025 y se parcheó en noviembre de 2025, meses antes de que esta variante comenzara a explotarlo. La puerta de entrada es la propia herramienta de eliminación de malware del dispositivo. XLab no ha medido las infecciones en NAS, por lo que la cifra de 4.300 cubre solo routers RTL819X.
Dos versiones, un mismo objetivo
Una versión es ligera y la otra más completa. La versión para routers está escrita en C y se mantiene liviana, ya que el hardware antiguo no puede ejecutar más, por lo que se limita a escaneo masivo de DNS y tunelización de tráfico. La versión para NAS está escrita en Go y realiza muchas más tareas: escanea redes internas y externas, y ejecuta herramientas de reconocimiento como fscan, ksubdomain y httpx. Una tarea "ScriptWork" ejecuta código fuente Go, Java o Python proporcionado por el atacante en el dispositivo, de modo que el operador nunca necesita compilar un binario por objetivo. Cada nodo infectado, al que XLab llama Executor, se comunica con su C2 mediante HTTP/HTTPS, con tráfico codificado en Protobuf ofuscado con un XOR simple (la versión Go añade gzip). El operador divide un escaneo grande en fragmentos y los distribuye entre la flota, realizando el reconocimiento en paralelo. XLab señala que el mismo escaneo DNS puede dirigirse a resolutores para generar tráfico de denegación de servicio. La persistencia se logra mediante un servidor SSH Dropbear en un puerto fijo (2332 en routers) o gs-netcat en NAS. La clave hardcodeada, sh_#@!_2024_secret, contiene "2024", lo que podría indicar un inicio en 2024, aunque XLab no puede confirmarlo.
Contexto y atribución
El patrón es conocido. En mayo de 2025, el FBI y el Departamento de Justicia desmantelaron los servicios 5socks y Anyproxy, que habían convertido routers Linksys y Cisco antiguos infectados con el malware TheMoon en proxies residenciales alquilados por mes. La versión de espionaje es muy similar. Mandiant ha rastreado redes operativas de relés (ORB), mallas de routers IoT comprometidos al final de su vida útil que actores estatales utilizan para escanear y retransmitir mientras permanecen difíciles de rastrear. ORB recientes como LapDogs explotan dispositivos mediante vulnerabilidades n-day, al igual que AryStinger. AryStinger no ha sido atribuido a nadie todavía, y XLab afirma que sigue investigando quién está detrás. Lo que está claro es el modelo: hardware olvidado, CVEs antiguos, convertidos en infraestructura silenciosa para los movimientos iniciales de una intrusión.
Qué hacer
Si utilizas alguno de los dispositivos afectados, las comprobaciones son sencillas. Busca conexiones salientes hacia los dominios C2 y de descarga de AryStinger (los hosts ajb8.com y relacionados en la lista de IOCs de XLab), verifica /tmp/bin en busca de binarios que no hayas puesto tú, y busca procesos llamados syswapd0h o syswapd0w. La solución duradera es la que todos repiten: retirar los routers al final de su vida útil que ya no reciben firmware, y desactivar la administración remota en cualquier dispositivo expuesto. Un aparato que dejó de recibir parches en 2016 no va a empezar a recibirlos ahora.
Cada router infectado se convierte en un nodo de reconocimiento y un relé que oculta la ubicación real del atacante.
