Le botnet AryStinger exploite des routeurs D-Link obsolètes pour infiltrer des réseaux

Une menace silencieuse progresse sur les réseaux domestiques et professionnels, souvent ignorée jusqu’à ce qu’il soit trop tard. Des chercheurs en cybersécurité ont identifié AryStinger, un botnet jusqu’alors inconnu qui a compromis plus de 4 000 routeurs D-Link dans le monde. Ces appareils, déjà vulnérables en raison de leur ancienneté ou de l’absence de mises à jour, sont transformés en relais de trafic malveillant, en points d’accès pour des attaques ultérieures et en outils de surveillance discrète. Contrairement à d’autres botnets qui ciblent des serveurs ou des postes de travail, AryStinger se concentre sur des équipements réseau largement répandus, ce qui multiplie les risques d’infection et d’exploitation à grande échelle.

L’architecture d’AryStinger repose sur une approche distribuée, conçue pour répartir les tâches malveillantes entre plusieurs appareils infectés. Plutôt que de centraliser les opérations sur un seul serveur de commande, le botnet divise les activités de balayage, de tunneling ou d’exécution de commandes en petites unités, puis les répartit entre différents routeurs compromis. Cette méthode permet aux attaquants de mener des campagnes d’intrusion plus efficaces, tout en réduisant les risques de détection précoce. Les chercheurs soulignent que cette approche offre une « assurance forte » pour la réussite des phases ultérieures d’une attaque, en facilitant notamment la collecte d’informations sur les réseaux ciblés.

Comment AryStinger infecte-t-il les routeurs D-Link ?

AryStinger exploite des vulnérabilités connues depuis plusieurs années, notamment CVE-2013-3307, CVE-2016-5681 et CVE-2025-11837, pour compromettre des routeurs D-Link spécifiques. Parmi les modèles les plus touchés figurent les DIR-850L et DIR-818LW, deux appareils populaires mais aujourd’hui obsolètes. Ces routeurs ne bénéficient plus de correctifs de sécurité, ce qui les rend particulièrement vulnérables aux attaques exploitant des failles anciennes. Les chercheurs notent que ces mêmes modèles avaient déjà été ciblés par le botnet AVrecon, démantelé en 2023 par un fournisseur de services de communication.

L’infection commence généralement par l’exploitation d’une faille dans le firmware du routeur. Une fois compromis, l’appareil devient un « exécutant » contrôlé à distance par les attaquants. Ces exécutants peuvent recevoir des ordres pour effectuer des tâches variées, allant du balayage de ports à l’exécution de commandes en passant par le tunneling de trafic. L’un des aspects les plus préoccupants est la capacité d’AryStinger à modifier les paramètres DNS des routeurs infectés. Cette manipulation permet aux attaquants de rediriger le trafic des utilisateurs vers des serveurs malveillants, facilitant ainsi le vol de données ou l’injection de logiciels malveillants.

Une menace aux multiples facettes : proxy, surveillance et vol de données

Une fois qu’un routeur est intégré au botnet AryStinger, il devient un outil polyvalent pour les cybercriminels. Les appareils infectés peuvent être utilisés comme proxys pour masquer l’origine du trafic malveillant, rendant plus difficile le traçage des attaques. Ils servent également de points d’entrée pour des activités de reconnaissance, comme le balayage de ports ou la cartographie des réseaux internes. Les attaquants peuvent ainsi identifier des failles supplémentaires ou des cibles potentielles pour des attaques ultérieures.

Au-delà de ces fonctions, AryStinger est capable de surveiller discrètement tout le trafic entrant et sortant du réseau compromis. Cette capacité de surveillance permet aux attaquants de collecter des informations sensibles, telles que les identifiants de connexion, les données bancaires ou les communications privées. Dans certains cas, le botnet peut également être utilisé pour injecter du code malveillant dans les requêtes web, compromettant ainsi la sécurité des utilisateurs finaux. Les chercheurs soulignent que cette approche combinée — proxy, surveillance et vol de données — en fait une menace particulièrement dangereuse pour les particuliers comme pour les entreprises.

Deux variantes, deux objectifs distincts

Les chercheurs ont identifié deux versions d’AryStinger : une variante écrite en C, principalement conçue pour cibler les routeurs obsolètes, et une autre en Go, spécialement adaptée aux systèmes de stockage en réseau (NAS). La variante en C est la plus répandue, avec des milliers d’infections confirmées dans plusieurs pays. Elle se concentre sur l’exploitation des failles des routeurs D-Link, en utilisant des techniques d’infection éprouvées pour transformer ces appareils en exécutants malveillants.

La variante en Go, bien que moins répandue, est techniquement plus avancée. Elle cible principalement les systèmes NAS, qui stockent et gèrent des données sensibles pour les particuliers et les entreprises. Cette version intègre des outils open source de test d’intrusion, tels que Nmap ou Metasploit, pour effectuer des scans de ports, des reconnaissances internes et des exécutions de commandes. Les chercheurs notent que cette variante pourrait, à terme, être utilisée pour générer des volumes importants de requêtes DNS contre des serveurs de résolution, bien que cette capacité n’ait pas encore été observée en conditions réelles.

Une répartition géographique inquiétante

Les données de télémétrie recueillies par les chercheurs révèlent une répartition géographique des infections particulièrement préoccupante. Près de la moitié des routeurs compromis (48,5 %) se trouvent en Corée du Sud, suivie par la Chine (31,8 %), la Suède (6,4 %), la Malaisie (3,5 %) et Singapour (2,5 %). Cette concentration géographique suggère que les attaquants ciblent des régions où l’utilisation de routeurs D-Link obsolètes est répandue, ou où les mises à jour de sécurité sont moins fréquentes.

La présence massive d’infections en Asie de l’Est et en Europe du Nord pourrait indiquer une stratégie délibérée pour exploiter des infrastructures réseau moins surveillées. Les chercheurs soulignent que cette répartition reflète également les zones où les utilisateurs sont moins susceptibles de mettre à jour régulièrement leurs équipements, ou où les correctifs de sécurité ne sont plus disponibles. Cette situation met en lumière l’importance de la gestion proactive des appareils réseau, même dans les environnements domestiques.

Quels sont les risques pour les utilisateurs et les entreprises ?

Pour les particuliers, l’infection d’un routeur par AryStinger peut avoir des conséquences graves. Les utilisateurs risquent de voir leurs données personnelles interceptées, leurs communications espionnées ou leurs appareils utilisés à leur insu pour des activités illégales. Les attaques par DNS hijacking peuvent rediriger les utilisateurs vers des sites frauduleux, où leurs identifiants ou leurs informations bancaires pourraient être volés. De plus, le trafic malveillant généré par le botnet peut ralentir les performances du réseau domestique, rendant les connexions internet instables ou lentes.

Pour les entreprises, les risques sont encore plus importants. Un routeur compromis peut servir de porte d’entrée pour des attaques ciblant l’ensemble du réseau interne. Les attaquants pourraient exploiter les capacités de surveillance d’AryStinger pour cartographier l’infrastructure, identifier des serveurs sensibles ou intercepter des communications professionnelles. Dans certains cas, le botnet pourrait être utilisé pour lancer des attaques par déni de service (DDoS) ou pour exfiltrer des données confidentielles. Les entreprises doivent donc considérer les routeurs obsolètes comme une faille critique dans leur stratégie de cybersécurité.

Comment se protéger contre AryStinger ?

La première ligne de défense contre AryStinger consiste à identifier et à remplacer les routeurs obsolètes. Les modèles D-Link DIR-850L et DIR-818LW, ainsi que tout autre appareil ne bénéficiant plus de mises à jour de sécurité, doivent être retirés du service sans délai. Les utilisateurs doivent vérifier régulièrement si leurs routeurs reçoivent encore des correctifs et, le cas échéant, procéder à une mise à jour immédiate. Dans de nombreux cas, la meilleure solution reste le remplacement pur et simple de l’appareil par un modèle récent, doté de protections modernes.

En complément, il est essentiel de renforcer la sécurité du réseau en appliquant les bonnes pratiques de cybersécurité. Cela inclut la désactivation des services inutiles, la modification des identifiants par défaut, l’activation du chiffrement WPA3 pour le Wi-Fi, et l’utilisation d’un pare-feu pour filtrer le trafic suspect. Les entreprises devraient également mettre en place une surveillance active de leur réseau pour détecter toute activité anormale, telle que des connexions inhabituelles ou des transferts de données suspects. Des outils de détection d’intrusion (IDS) ou des solutions de sécurité réseau peuvent aider à identifier rapidement les appareils compromis.

Que faire si un routeur est déjà infecté ?

Si un utilisateur suspecte qu’un routeur est compromis par AryStinger, la première étape consiste à effectuer une réinitialisation d’usine pour restaurer les paramètres par défaut. Cette opération efface généralement le firmware malveillant, mais elle doit être suivie d’une mise à jour immédiate du routeur avec la dernière version du firmware disponible. Dans certains cas, il peut être nécessaire de remplacer complètement l’appareil, surtout si le routeur est un modèle obsolète sans support continu. Les utilisateurs doivent également vérifier les paramètres DNS pour s’assurer qu’ils n’ont pas été modifiés par les attaquants.

Pour les entreprises, une réponse plus structurée est nécessaire. Il est recommandé de déconnecter immédiatement le routeur infecté du réseau et de lancer une analyse approfondie des autres appareils connectés. Les équipes de sécurité doivent rechercher des signes d’activité malveillante, tels que des connexions sortantes inhabituelles ou des modifications de configuration. Une fois l’infection maîtrisée, il est crucial de revoir la politique de gestion des appareils réseau et de mettre en place des mesures préventives pour éviter une réinfection.

L’avenir des botnets et la nécessité d’une approche proactive

AryStinger illustre une tendance inquiétante dans le paysage des cybermenaces : l’exploitation croissante des appareils IoT et des équipements réseau obsolètes. Avec l’essor des objets connectés, les attaquants disposent d’un nombre toujours plus grand de cibles potentielles, souvent moins protégées que les postes de travail ou les serveurs. Les botnets comme AryStinger montrent que les cybercriminels adaptent leurs stratégies pour exploiter les failles des infrastructures existantes, plutôt que de cibler directement les systèmes modernes.

Face à cette menace, une approche proactive est indispensable. Les utilisateurs et les entreprises doivent considérer leurs appareils réseau comme des points d’entrée critiques dans leur stratégie de cybersécurité. Cela implique non seulement de remplacer les équipements obsolètes, mais aussi de mettre en place des mécanismes de surveillance et de réponse aux incidents. Les solutions de sécurité doivent évoluer pour détecter les comportements anormaux, même lorsqu’ils proviennent d’appareils apparemment inoffensifs comme un routeur. Dans un environnement où les attaques se multiplient et se sophistiquent, la vigilance et l’anticipation restent les meilleures armes contre les botnets.