Botnet AryStinger Menyerang 4.000 Router D-Link: Ancaman Tersembunyi yang Mengancam Keamanan Jaringan

Sejumlah perangkat jaringan rumah dan usaha kini menjadi target serangan tersembunyi yang dapat membahayakan seluruh koneksi internet. Botnet bernama AryStinger telah diketahui menginfeksi lebih dari 4.000 router D-Link yang sudah tidak mendapat pembaruan keamanan, menjadikan perangkat-perangkat tersebut sebagai “kuda troya” yang dapat dikendalikan dari jarak jauh. Infrastruktur jahat ini tidak hanya digunakan untuk meneruskan lalu lintas berbahaya, tetapi juga mampu melakukan pengintaian, pemindaian DNS, hingga pencurian data tanpa terdeteksi. Menurut laporan dari tim intelijen ancaman Qianxin XLab, serangan ini menunjukkan pola yang semakin canggih dan tersebar luas, terutama di wilayah Asia.

Jaringan yang terinfeksi tidak hanya menjadi bagian dari botnet, melainkan juga berpotensi menjadi pintu belakang bagi serangan lanjutan terhadap perangkat lain di dalam jaringan lokal. Ancaman ini semakin serius karena router yang terinfeksi dapat dimanfaatkan untuk mengalihkan lalu lintas pengguna, memanipulasi pengaturan DNS, dan bahkan memantau semua aktivitas daring tanpa izin. Dengan demikian, setiap pengguna yang terhubung melalui router yang terinfeksi berisiko mengalami pencurian data pribadi, serangan phishing, atau penyalahgunaan bandwidth untuk aktivitas ilegal. Bagi organisasi, serangan ini dapat membuka celah bagi serangan ransomware atau pencurian data korporat yang lebih luas.

Bagaimana AryStinger Menginfeksi Ribuan Router

AryStinger menyasar perangkat keras tertentu yang sudah lama tidak diperbarui, khususnya model D-Link DIR-850L dan DIR-818LW. Kedua model ini sebelumnya juga menjadi sasaran botnet AVrecon yang berhasil diidentifikasi dan dihentikan oleh penyedia layanan komunikasi Lumen pada tahun 2023. Meskipun demikian, AryStinger menggunakan kerentanan lama seperti CVE-2013-3307, CVE-2016-5681, dan CVE-2025-11837 untuk menembus pertahanan perangkat yang sudah tidak didukung lagi oleh pembaruan firmware resmi.

Setelah berhasil masuk, malware ini mengubah perangkat yang terinfeksi menjadi “eksekutor” yang dapat menerima perintah dari server komando dan kendali (C2). Infrastruktur ini memungkinkan penyerang untuk mendistribusikan tugas-tugas berat—seperti pemindaian jaringan, penerusan lalu lintas, atau eksekusi perintah—ke berbagai perangkat secara paralel. Dengan desain terdistribusi ini, serangan awal dapat dilakukan dengan efisiensi tinggi, sehingga memudahkan tahap awal infiltrasi sebelum serangan utama dilancarkan. Para peneliti mencatat bahwa serangan ini dapat memfasilitasi aktivitas “footprinting” yang efektif, yaitu pemetaan sistem target sebelum serangan lebih lanjut dilakukan.

Dua Varian Malware: C-Based dan Go-Based

XLab mengidentifikasi dua varian utama AryStinger yang memiliki perbedaan signifikan dalam target dan kemampuan. Varian berbasis C ditujukan terutama untuk router usang, sementara varian berbasis Go lebih canggih dan saat ini menargetkan perangkat NAS (Network Attached Storage). Meskipun varian NAS memiliki jangkauan yang lebih terbatas saat ini, ia menawarkan fitur-fitur yang jauh lebih berbahaya.

Varian berbasis C berfungsi sebagai alat dasar untuk mengintegrasikan perangkat ke dalam botnet. Setelah terinfeksi, perangkat ini dapat digunakan untuk meneruskan lalu lintas jahat, melakukan pemindaian port, atau menjalankan perintah sederhana dari server C2. Sementara itu, varian berbasis Go yang lebih baru menunjukkan tingkat kompleksitas yang lebih tinggi. Selain kemampuan dasar botnet, varian ini juga dilengkapi dengan alat-alat open-source untuk pengintaian internal, eksekusi perintah, dan pemindaian DNS yang lebih canggih. Kemampuan ini memungkinkan penyerang untuk melakukan rekognisi jaringan internal secara lebih mendalam, bahkan tanpa harus masuk ke dalam sistem utama.

Ancaman DNS Hijacking dan Pemantauan Lalu Lintas

Salah satu ancaman terbesar dari AryStinger adalah kemampuannya untuk memanipulasi pengaturan DNS pada perangkat yang terinfeksi. Dengan mengubah server DNS default, penyerang dapat membelokkan lalu lintas pengguna ke situs palsu yang dirancang untuk mencuri kredensial login, menyebarkan malware, atau menampilkan iklan berbahaya. Selain itu, malware ini juga mampu memantau semua lalu lintas masuk dan keluar dari jaringan tanpa sepengetahuan pengguna, sehingga memungkinkan pencurian data sensitif seperti kata sandi, informasi perbankan, atau data pribadi lainnya.

Para peneliti mencatat bahwa infrastruktur pemindaian DNS terdistribusi yang dimiliki AryStinger berpotensi disalahgunakan untuk membanjiri resolver DNS dengan volume permintaan yang sangat besar. Meskipun demikian, hingga saat ini belum ada bukti serangan semacam itu yang benar-benar terjadi. Namun, potensi ancaman ini tetap menjadi perhatian serius, terutama mengingat kemampuan botnet untuk melakukan serangan DDoS skala besar atau serangan pengalihan DNS masif yang dapat melumpuhkan layanan daring.

Geografi Serangan: Konsentrasi Tertinggi di Asia

Menurut data telemetri Qianxin XLab, mayoritas serangan AryStinger terkonsentrasi di wilayah Asia, dengan Korea Selatan menempati peringkat pertama dengan 48,5% dari total infeksi. China menyusul di posisi kedua dengan 31,8%, sementara negara-negara lain seperti Swedia (6,4%), Malaysia (3,5%), dan Singapura (2,5%) juga tercatat memiliki sejumlah perangkat yang terinfeksi. Pola geografis ini menunjukkan bahwa penyerang mungkin memiliki target spesifik di wilayah tersebut, atau mungkin memanfaatkan kerentanan yang lebih umum ditemukan di negara-negara dengan tingkat pembaruan firmware yang rendah.

Konsentrasi serangan di wilayah Asia juga dapat mengindikasikan bahwa penyerang memanfaatkan kebiasaan pengguna yang cenderung kurang memperbarui perangkat keras mereka atau menggunakan perangkat yang sudah tidak didukung lagi oleh produsen. Selain itu, perbedaan regulasi dan tingkat kesadaran keamanan di berbagai negara juga dapat mempengaruhi tingkat kerentanan terhadap serangan semacam ini. Bagi pengguna dan organisasi di wilayah-wilayah tersebut, langkah-langkah pencegahan menjadi sangat penting untuk menghindari risiko infeksi.

Dampak bagi Pengguna Rumah dan Organisasi

Bagi pengguna rumahan, ancaman AryStinger terutama terletak pada risiko pencurian data pribadi dan gangguan koneksi internet. Router yang terinfeksi dapat memperlambat koneksi, mengalihkan pengguna ke situs berbahaya, atau bahkan digunakan untuk menyebarkan malware ke perangkat lain yang terhubung dalam jaringan yang sama. Selain itu, aktivitas jahat yang dilakukan melalui router yang terinfeksi dapat menimbulkan masalah hukum bagi pemilik perangkat, terutama jika digunakan untuk melakukan serangan terhadap pihak ketiga.

Sementara itu, bagi organisasi, dampak yang lebih serius dapat terjadi. Router yang terinfeksi dapat menjadi pintu belakang bagi serangan terhadap jaringan internal, memungkinkan penyerang untuk melakukan pengintaian, pencurian data korporat, atau bahkan serangan ransomware. Serangan semacam ini dapat menyebabkan kerugian finansial yang besar, kerusakan reputasi, serta pelanggaran terhadap regulasi perlindungan data seperti GDPR atau UU ITE di Indonesia. Oleh karena itu, organisasi perlu menerapkan langkah-langkah keamanan yang lebih ketat untuk mencegah infeksi dan mendeteksi aktivitas mencurigakan sejak dini.

Langkah-Langkah Pencegahan dan Mitigasi

Untuk mengurangi risiko terinfeksi AryStinger atau botnet serupa, pengguna dan organisasi disarankan untuk segera memperbarui firmware router mereka ke versi terbaru yang tersedia. Produsen perangkat keras biasanya merilis pembaruan untuk menambal kerentanan yang ditemukan, sehingga sangat penting untuk tidak mengabaikan notifikasi pembaruan. Selain itu, pengguna juga disarankan untuk memeriksa secara berkala apakah perangkat mereka telah terinfeksi dengan memindai jaringan menggunakan alat keamanan yang andal.

Langkah lain yang dapat dilakukan adalah dengan mengganti router yang sudah tidak didukung lagi oleh produsen. Perangkat yang sudah tidak mendapat pembaruan keamanan sangat rentan terhadap serangan, terutama jika kerentanan yang dimanfaatkan sudah diketahui secara luas. Selain itu, pengguna juga dapat mempertimbangkan untuk menggunakan layanan DNS publik yang aman, seperti Cloudflare DNS atau Google Public DNS, untuk mengurangi risiko DNS hijacking. Penggunaan firewall jaringan dan sistem deteksi intrusi (IDS) juga dapat membantu mendeteksi dan mencegah aktivitas jahat sejak dini.

Masa Depan Ancaman Botnet dan Peran Pengguna

Serangan botnet seperti AryStinger menunjukkan bahwa ancaman terhadap perangkat IoT dan jaringan rumah semakin berkembang. Dengan semakin banyaknya perangkat yang terhubung ke internet, penyerang memiliki lebih banyak target potensial untuk dimanfaatkan. Selain itu, kemampuan malware yang semakin canggih, seperti penggunaan bahasa pemrograman modern (misalnya Go) dan integrasi alat-alat open-source untuk pengintaian, menunjukkan bahwa serangan ini tidak lagi dilakukan oleh kelompok yang tidak terorganisir, melainkan oleh aktor yang memiliki sumber daya dan pengetahuan teknis yang memadai.

Bagi pengguna dan organisasi, penting untuk tetap waspada dan proaktif dalam menjaga keamanan jaringan. Pembaruan rutin, pemantauan aktivitas jaringan, dan penerapan praktik keamanan terbaik adalah langkah-langkah yang tidak dapat diabaikan. Selain itu, kolaborasi antara produsen perangkat keras, penyedia layanan internet, dan komunitas keamanan siber juga sangat diperlukan untuk mengidentifikasi dan menanggulangi ancaman yang muncul dengan lebih cepat. Dengan demikian, diharapkan bahwa ancaman botnet seperti AryStinger dapat diminimalisir, sehingga pengguna dapat tetap merasa aman saat menggunakan perangkat yang terhubung ke internet.