Neue Bedrohung durch AryStinger-Botnetz: Tausende D-Link-Router weltweit als Proxy missbraucht

Ein neu entdecktes Botnetz namens AryStinger hat weltweit Tausende veraltete Netzwerkgeräte unter seine Kontrolle gebracht. Die Sicherheitsforscher von Qianxin XLab berichten, dass die Schadsoftware gezielt D-Link-Router älterer Baujahre kompromittiert, um sie als Proxy-Server für kriminelle Aktivitäten zu nutzen. Die Infektion ermöglicht es Angreifern, die Geräte als ferngesteuerte Knotenpunkte für Scans, Tunnelverbindungen und Datenweiterleitungen einzusetzen. Besonders besorgniserregend ist die Fähigkeit der Malware, DNS-Einstellungen zu manipulieren und den gesamten Netzwerkverkehr der Opfer abzuhören oder umzuleiten.

Die Bedrohung betrifft vor allem zwei Router-Modelle: den D-Link DIR-850L und den D-Link DIR-818LW. Beide Geräte sind seit Jahren nicht mehr mit Sicherheitsupdates versorgt und gelten als besonders anfällig für bekannte Schwachstellen. Laut den Telemetrie-Daten von Qianxin entfallen fast die Hälfte aller erfassten Infektionen auf Südkorea (48,5 Prozent), gefolgt von China (31,8 Prozent) und Schweden (6,4 Prozent). Kleinere Anteile verteilen sich auf Malaysia und Singapur. Die geografische Verteilung deutet darauf hin, dass Angreifer gezielt Regionen mit hoher Dichte an veralteter Netzwerkinfrastruktur ins Visier nehmen.

Die Analysten von XLab haben zwei Varianten der AryStinger-Malware identifiziert: eine C-basierte Version, die hauptsächlich auf veraltete Router abzielt, sowie eine Go-basierte Variante, die vorrangig NAS-Systeme attackiert. Während die Router-Variante bereits in über 4.000 Geräten nachgewiesen wurde, ist die NAS-Version noch deutlich seltener verbreitet. Dennoch gilt sie als technisch fortschrittlicher, da sie zusätzliche Funktionen wie IP- und DNS-Scans, Codeausführung und interne Netzwerkerkennung durch Integration von Open-Source-Penetrationstools bietet.

Wie AryStinger Router infiziert und welche Schwachstellen ausgenutzt werden

AryStinger nutzt eine Reihe bekannter, aber längst behobener Sicherheitslücken aus, um sich Zugang zu den Routern zu verschaffen. Zu den ausgenutzten Schwachstellen gehören CVE-2013-3307, CVE-2016-5681 und CVE-2025-11837. Besonders kritisch ist dabei, dass diese Lücken bereits seit Jahren öffentlich bekannt sind und für die betroffenen D-Link-Modelle keine Sicherheitsupdates mehr bereitgestellt werden. Die Malware nutzt diese veralteten Schwachstellen aus, um sich dauerhaft im System zu verankern und sich vor Löschversuchen zu schützen.

Einmal infiziert, wird das Router-Betriebssystem modifiziert, um die Schadsoftware zu starten und gleichzeitig legitime Funktionen aufrechtzuerhalten. Die Angreifer können die Geräte dann als ferngesteuerte "Executor"-Knoten nutzen, die Aufgaben wie Netzwerk-Scans oder das Weiterleiten von Datenverkehr übernehmen. Durch diese verteilte Architektur können komplexe Angriffsvorbereitungen wie das Ausspähen von Netzwerkstrukturen effizienter durchgeführt werden. Die Forscher betonen, dass solche vorbereitenden Maßnahmen oft entscheidend für den Erfolg nachfolgender Angriffe sind.

Ein besonders gefährlicher Aspekt ist die Fähigkeit von AryStinger, DNS-Einstellungen zu ändern. Dadurch können Angreifer den gesamten Internetverkehr der Opfer auf manipulierte Server umleiten, ohne dass diese etwas davon bemerken. Diese Technik ermöglicht nicht nur das Abfangen von Anmeldedaten, sondern auch das Einschleusen von Schadcode in ungeschützte Verbindungen. Selbst verschlüsselte Verbindungen sind nicht vollständig sicher, wenn der DNS-Verkehr kompromittiert wird.

Die Rolle von NAS-Systemen und die Go-basierte Variante

Neben der Router-Variante haben die Sicherheitsforscher auch eine Go-basierte Version von AryStinger entdeckt, die speziell auf Netzwerkspeichersysteme (NAS) abzielt. Diese Variante ist technisch anspruchsvoller und integriert Tools wie Nmap und Metasploit, um interne Netzwerke zu scannen und Schwachstellen zu identifizieren. Bisher wurde diese Version jedoch nur in einer begrenzten Anzahl von Geräten nachgewiesen, was darauf hindeutet, dass sie noch in der Entwicklung oder in einer Testphase ist.

Die Go-basierte Variante bietet zusätzliche Funktionen wie IP- und DNS-Scans sowie die Fähigkeit, Befehle auszuführen und Payloads zu starten. Diese erweiterten Möglichkeiten deuten darauf hin, dass die Angreifer hinter AryStinger die NAS-Systeme nicht nur als Proxy, sondern auch als Sprungbrett für weitere Angriffe innerhalb lokaler Netzwerke nutzen wollen. Besonders besorgniserregend ist die Möglichkeit, dass die Malware gezielt nach sensiblen Daten sucht oder interne Systeme kompromittiert.

Die Forscher warnen davor, dass die verteilte DNS-Scanning-Infrastruktur von AryStinger theoretisch auch genutzt werden könnte, um massive DNS-Anfragen gegen Resolver zu starten. Solche Angriffe könnten zu einer Überlastung von DNS-Servern führen und damit ganze Netzwerke lahmlegen. Bisher wurden solche Szenarien jedoch noch nicht beobachtet, was die Frage aufwirft, ob die Angreifer ihre Infrastruktur noch aufbauen oder bereits gezieltere Ziele verfolgen.

Geografische Verteilung und betroffene Regionen

Die Analyse der Infektionsherde zeigt eine klare geografische Konzentration. Fast die Hälfte aller erfassten Infektionen entfällt auf Südkorea, gefolgt von China und Schweden. Diese Verteilung lässt sich teilweise durch die Verbreitung der betroffenen Router-Modelle erklären, die in diesen Regionen besonders populär waren. Gleichzeitig deutet die hohe Anzahl an Infektionen in Südkorea darauf hin, dass die Angreifer gezielt Regionen mit veralteter Infrastruktur ins Visier nehmen.

Interessanterweise gibt es nur wenige Infektionen in Nordamerika oder Europa außerhalb der genannten Länder. Dies könnte darauf hindeuten, dass die Angreifer ihre Aktivitäten auf Regionen mit weniger strengen Cybersicherheitsrichtlinien oder mit einer höheren Dichte an veralteten Geräten konzentrieren. Gleichzeitig wirft die geografische Verteilung Fragen nach der Motivation der Angreifer auf: Handelt es sich um gezielte Angriffe auf bestimmte Märkte oder um eine breitere, opportunistische Kampagne?

Die Forscher betonen, dass die tatsächliche Anzahl der Infektionen höher sein könnte, da viele betroffene Geräte in privaten Netzwerken betrieben werden und daher nicht immer in Sicherheitsanalysen erfasst werden. Besonders in Ländern mit hoher Nutzung veralteter Hardware könnten weitere Infektionen unentdeckt bleiben.

Vergleich mit dem AVrecon-Botnetz und historische Parallelen

Die Sicherheitsforscher weisen darauf hin, dass die betroffenen D-Link-Modelle bereits in der Vergangenheit von anderen Botnetzen wie AVrecon attackiert wurden. Das AVrecon-Botnetz, das 2023 von Lumen Technologies entdeckt und unterbunden wurde, nutzte ähnliche Schwachstellen aus, um Router in ein Proxy-Netzwerk zu verwandeln. Die Parallelen zwischen AryStinger und AVrecon deuten darauf hin, dass Angreifer gezielt nach veralteten Geräten suchen, die sich leicht kompromittieren lassen.

Ein wichtiger Unterschied zwischen den beiden Botnetzen besteht jedoch in der technischen Umsetzung. Während AVrecon primär auf die Erstellung eines Proxy-Netzwerks abzielte, integriert AryStinger zusätzliche Funktionen wie DNS-Manipulation und interne Netzwerkerkennung. Diese erweiterten Fähigkeiten machen AryStinger zu einer potenziell gefährlicheren Bedrohung, da sie nicht nur als Werkzeug für Angriffe von außen, sondern auch für die Vorbereitung interner Kompromittierungen genutzt werden kann.

Die historische Parallele zu AVrecon zeigt zudem, dass solche Botnetze oft über einen längeren Zeitraum unentdeckt bleiben können. Erst durch gezielte Analysen von Sicherheitsforschern werden sie identifiziert und können dann unterbunden werden. Dies unterstreicht die Bedeutung regelmäßiger Sicherheitsüberprüfungen und Updates, insbesondere bei Netzwerkgeräten, die nicht mehr vom Hersteller unterstützt werden.

Praktische Schutzmaßnahmen für betroffene Nutzer

Für Nutzer der betroffenen D-Link-Modelle DIR-850L und DIR-818LW gibt es mehrere Schritte, um sich vor AryStinger und ähnlichen Bedrohungen zu schützen. Da diese Geräte keine Sicherheitsupdates mehr erhalten, sollte ein sofortiger Austausch gegen moderne Router mit aktiver Wartung erwogen werden. Hersteller wie D-Link bieten keine Patches mehr für diese Modelle an, sodass ein Wechsel die einzige nachhaltige Lösung darstellt.

Wer die Router weiterhin nutzen möchte, sollte zumindest sicherstellen, dass der Fernzugriff deaktiviert ist und starke, einzigartige Passwörter für das Admin-Panel verwendet werden. Zudem empfiehlt es sich, regelmäßige Überprüfungen der DNS-Einstellungen durchzuführen, um Manipulationen frühzeitig zu erkennen. Ein Netzwerk-Monitoring-Tool kann dabei helfen, ungewöhnliche Aktivitäten wie ungewöhnlich hohen Datenverkehr oder unbekannte Verbindungen zu identifizieren.

Für Unternehmen und Organisationen mit größeren Netzwerken ist eine umfassende Bestandsaufnahme der eingesetzten Hardware ratsam. Besonders Geräte, die nicht mehr vom Hersteller unterstützt werden, sollten identifiziert und durch aktuelle Modelle ersetzt werden. Zusätzlich können Firewalls und Intrusion-Detection-Systeme (IDS) helfen, verdächtige Aktivitäten zu erkennen und zu blockieren. Eine Segmentierung des Netzwerks kann zudem verhindern, dass sich Schadsoftware innerhalb des Systems ausbreitet.

Langfristige Risiken und zukünftige Entwicklungen

Die Entdeckung von AryStinger unterstreicht ein wiederkehrendes Problem in der Cybersicherheit: die anhaltende Nutzung veralteter Hardware, die keine Sicherheitsupdates mehr erhält. Solche Geräte werden zunehmend zu einem bevorzugten Ziel für Cyberkriminelle, die nach einfachen Wegen suchen, um Netzwerke zu kompromittieren. Die Tatsache, dass AryStinger bereits in Tausenden Geräten aktiv ist, zeigt, wie groß das Potenzial für weitere Angriffe ist.

Die Go-basierte NAS-Variante von AryStinger wirft zudem Fragen nach den zukünftigen Zielen der Angreifer auf. Sollte sich diese Variante weiter verbreiten, könnten nicht nur Router, sondern auch Netzwerkspeichersysteme zu einem zentralen Bestandteil von Botnetzen werden. Die Integration von Open-Source-Penetrationstools deutet darauf hin, dass die Angreifer ihre Fähigkeiten kontinuierlich erweitern und möglicherweise gezieltere Angriffe vorbereiten.

Langfristig könnte die Bedrohung durch AryStinger zu einer verstärkten Nachfrage nach nachhaltigen IT-Sicherheitsstrategien führen. Hersteller werden sich möglicherweise gezwungen sehen, auch für ältere Geräte Sicherheitsupdates bereitzustellen oder zumindest klare Empfehlungen für den Austausch zu kommunizieren. Gleichzeitig könnten Regulierungsbehörden strengere Vorgaben für die Sicherheit von Netzwerkgeräten erlassen, um die Verbreitung solcher Botnetze einzudämmen.

Fazit: Warum AryStinger mehr als nur ein weiteres Botnetz ist

AryStinger ist kein gewöhnliches Botnetz, das sich auf die Erstellung eines Proxy-Netzwerks beschränkt. Die Fähigkeit, DNS-Einstellungen zu manipulieren und interne Netzwerke zu scannen, macht diese Bedrohung zu einem vielseitigen Werkzeug für Cyberkriminelle. Die Kombination aus veralteter Hardware, gezielten Angriffen auf bestimmte Regionen und der Nutzung fortschrittlicher Techniken wie verteilter Scans deutet darauf hin, dass AryStinger Teil einer größeren, strategischen Kampagne sein könnte.

Für betroffene Nutzer ist der sofortige Austausch der kompromittierten Router die sicherste Lösung. Gleichzeitig sollten Unternehmen und Organisationen ihre Netzwerke regelmäßig überprüfen und veraltete Geräte ersetzen. Die Entdeckung von AryStinger sollte als Weckruf verstanden werden, um die Sicherheit von Netzwerkinfrastrukturen langfristig zu verbessern und die Nutzung veralteter Hardware zu reduzieren. Nur so lässt sich verhindern, dass solche Botnetze weiterhin ungestört wachsen und neue Angriffe vorbereiten.