Lo scorso marzo i ricercatori di Qianxin XLab hanno individuato un botnet mai documentato prima, battezzato AryStinger, che ha gi� compromesso almeno 4.300 router D-Link in tutto il mondo trasformandoli in nodi al servizio di campagne di ricognizione, proxying e attacco. Il conteggio, rilevato dalla piattaforma di mappatura QiAnXin Eagle Map, � ancora in crescita e non comprende i dispositivi NAS, per i quali manca al momento un metodo di misurazione equivalente. L'aspetto pi� notevole � l'arsenale di partenza. AryStinger fa leva su CVE-2013-3307 e CVE-2016-5681, vulnerabilit� divulgate oltre tredici anni fa, per colpire i router D-Link con chip RTL819X, in particolare i modelli DIR-850L e DIR-818LW. Una terza falla, CVE-2025-11837, apre invece la strada ai dispositivi NAS. Il primo campione � emerso il 12 marzo, quando un IP che diffondeva binari ELF � risultato avere zero rilevamenti su VirusTotal, e ancora oggi i campioni e i server di comando associati hanno un tasso di individuazione bassissimo nei principali motori antivirus. Due varianti, due livelli di pericolosit� AryStinger circola in due forme. La versione per router, scritta in C per l'architettura RTL819X, ha funzionalit� limitate alla risoluzione DNS di massa via massdns e al tunneling, e installa dropbear, un server SSH leggero, sulla porta 2332 per garantirsi un accesso remoto persistente. La versione Standard, scritta in Go e destinata ai NAS, � molto pi� ricca: integra strumenti di penetration testing open source come fscan, ksubdomain, httpx e Tlsx per la ricognizione della rete interna, usa gs-netcat come backdoor e supporta il task ScriptWork, che esegue comandi shell e payload in Go, Java e Python a livello di codice sorgente, senza dover compilare binari per ogni architettura. Ogni dispositivo infetto diventa un Executor. Il server di comando e controllo frammenta un'operazione di scansione su larga scala in sottotask che assegna a Executor diversi, eseguiti in parallelo. La comunicazione passa via HTTP/HTTPS, con dati serializzati in Protobuf e cifrati in XOR tramite una chiave hardcoded, sh_#@!_2024_secret: quel "2024" lascia pensare che l'attivit� possa essere iniziata gi� l'anno prima della scoperta. Sul router compromesso il malware pu� alterare le impostazioni DNS per dirottare la navigazione e monitorare in silenzio tutto il traffico in entrata e in uscita. La stessa infrastruttura di scansione DNS distribuita, osservano i ricercatori, potrebbe essere riconvertita per generare volumi massicci di query contro i resolver, configurando un potenziale attacco DDoS; finora nulla del genere � stato osservato. La distribuzione geografica � insolita: in testa c'� la Corea del Sud con il 48,45% delle infezioni, seguita dalla Cina (31,82%), poi Svezia, Malaysia e Singapore con quote minori. Sul fronte dei modelli, il DIR-850L da solo concentra il 75% dei contagi, davanti al DIR-818LW al 13%. AryStinger non � stato attribuito ad alcun gruppo noto, e dalla scoperta sono stati raccolti oltre cinquanta campioni delle due varianti, con numeri di versione in rapida progressione: segno di uno sviluppo tutt'altro che fermo. Nell'analisi tecnica completa, corredata di indicatori di compromissione e dettagli architetturali, XLab raccomanda di sostituire i router a fine vita con modelli ancora supportati, aggiornare il firmware, cambiare la password dell'amministratore e disabilitare il pannello di gestione remota. Restano le contromisure di base contro una minaccia che, per ora, vive quasi interamente sull'hardware dimenticato.