Botnet AryStinger: come router D-Link vecchi e NAS vulnerabili diventano armi per attacchi su larga scala

Negli ultimi mesi, una nuova minaccia informatica ha preso di mira migliaia di dispositivi di rete domestici e aziendali, sfruttando vulnerabilità note ma ancora diffuse. Il botnet AryStinger, identificato da un team di ricercatori di sicurezza, ha compromesso oltre 4.000 router D-Link obsoleti, trasformandoli in nodi proxy per attività malevole su larga scala. La sua capacità di distribuire compiti di scansione e tunneling tra più dispositivi infetti lo rende particolarmente insidioso, poiché consente agli attaccanti di eseguire operazioni di ricognizione e infiltrazione in modo efficiente e parallelo. Questo approccio distribuito non solo aumenta la potenza dell’attacco, ma rende anche più difficile per i difensori individuarne la fonte. La minaccia non si limita ai router: una variante più avanzata del malware, scritta in linguaggio Go, prende di mira anche i sistemi di archiviazione NAS, ampliando il raggio d’azione degli attaccanti.

Il botnet AryStinger rappresenta un’evoluzione significativa rispetto alle tradizionali botnet, che solitamente si concentrano su un singolo tipo di dispositivo o su una specifica vulnerabilità. A differenza di minacce come AVrecon, che nel 2023 aveva sfruttato alcune delle stesse famiglie di router, AryStinger introduce un’architettura modulare e distribuita. Gli attaccanti possono suddividere compiti complessi, come la scansione di reti o l’esecuzione di comandi, in task più piccoli e assegnarli a diversi dispositivi infetti. Questo metodo non solo ottimizza le risorse, ma riduce anche il rischio di rilevamento precoce, poiché ogni nodo esegue solo una parte dell’attività complessiva. Inoltre, la capacità di modificare le impostazioni DNS dei router compromessi apre la porta a ulteriori attacchi, come il dirottamento del traffico web degli utenti e l’intercettazione silenziosa dei dati in transito.

Come funziona il botnet AryStinger e perché è pericoloso

AryStinger si diffonde principalmente sfruttando vulnerabilità note e non patchate in router D-Link, in particolare i modelli DIR-850L e DIR-818LW. Tra le falle utilizzate figurano CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837, tutte già documentate da tempo ma ancora presenti in molti dispositivi non aggiornati. Una volta compromesso un router, il malware installa un agente che lo trasforma in un "esecutore" remoto, in grado di ricevere comandi da un server di comando e controllo (C2) e di eseguire diverse operazioni, tra cui scansioni di rete, tunneling di traffico, esecuzione di comandi arbitrari e persino modifiche alle impostazioni DNS. Questa flessibilità consente agli attaccanti di adattare rapidamente le proprie strategie in base agli obiettivi dell’attacco.

La variante basata su linguaggio Go, invece, è progettata per colpire i sistemi NAS, che spesso fungono da archivi centralizzati per dati aziendali o personali. Questa versione del malware non solo sfrutta vulnerabilità nei dispositivi di archiviazione, ma integra anche strumenti open-source per il penetration testing, come strumenti di scansione IP e DNS, esecuzione di payload e ricognizione interna delle reti. Sebbene il numero di infezioni tramite questa variante sia ancora limitato, la sua presenza indica un’evoluzione delle tattiche degli attaccanti, che cercano di estendere il proprio raggio d’azione oltre i tradizionali router consumer. Inoltre, i ricercatori hanno rilevato che l’infrastruttura di scansione DNS distribuita di AryStinger potrebbe essere potenzialmente sfruttata per generare volumi elevati di query DNS contro i resolver, anche se al momento non sono state osservate attività malevole di questo tipo.

I dispositivi a rischio e la geografia delle infezioni

Secondo i dati raccolti dai ricercatori, i dispositivi più colpiti sono i router D-Link DIR-850L e DIR-818LW, modelli che, pur essendo stati messi fuori produzione anni fa, rimangono ampiamente utilizzati in molti paesi. Tuttavia, la distribuzione geografica delle infezioni rivela un pattern interessante: quasi la metà dei dispositivi compromessi si trova in Corea del Sud (48,5%), seguita da Cina (31,8%), Svezia (6,4%), Malesia (3,5%) e Singapore (2,5%). Questa distribuzione suggerisce che gli attaccanti stiano prendendo di mira regioni con un’elevata densità di dispositivi obsoleti o con una minore attenzione alla sicurezza delle reti domestiche. La concentrazione in paesi con infrastrutture tecnologiche avanzate ma con una forte presenza di dispositivi legacy rappresenta un rischio particolare, poiché questi ambienti potrebbero essere utilizzati come trampolini per attacchi più sofisticati contro obiettivi aziendali o governativi.

La variante NAS, invece, è ancora in una fase iniziale di diffusione, ma la sua presenza in diversi paesi indica che gli attaccanti stiano sperimentando nuove strategie per espandere il proprio arsenale. I sistemi NAS, spesso considerati meno critici rispetto ai router, possono invece contenere dati sensibili o fungere da punti di ingresso per reti aziendali più ampie. La capacità di AryStinger di integrarsi con strumenti di penetration testing open-source suggerisce che gli attaccanti stiano cercando di automatizzare e rendere più efficiente il processo di ricognizione e sfruttamento delle vulnerabilità. Questo approccio non solo riduce il tempo necessario per preparare un attacco, ma aumenta anche le probabilità di successo, poiché gli strumenti utilizzati sono già testati e affidabili.

Le tecniche di attacco e le capacità del malware

AryStinger si distingue per la sua architettura modulare e distribuita, che consente agli attaccanti di suddividere le attività malevole in compiti più piccoli e assegnarli a diversi dispositivi infetti. Questa strategia non solo ottimizza le risorse, ma rende anche più difficile per i sistemi di sicurezza rilevare l’attività malevola, poiché ogni nodo esegue solo una parte dell’operazione complessiva. Ad esempio, un attacco di scansione di rete può essere suddiviso in migliaia di query più piccole, ciascuna inviata da un router o NAS infetto, rendendo quasi impossibile per i firewall o gli IDS (Intrusion Detection System) identificare il pattern completo dell’attacco.

Oltre alla scansione e al tunneling, AryStinger può eseguire comandi arbitrari sui dispositivi compromessi, modificare le impostazioni DNS per dirottare il traffico degli utenti e monitorare silenziosamente tutto il traffico di rete in entrata e in uscita. Questa capacità di intercettazione rappresenta una minaccia significativa per la privacy e la sicurezza degli utenti, poiché consente agli attaccanti di rubare credenziali, informazioni finanziarie o dati sensibili. La variante NAS, in particolare, può eseguire payload e utilizzare strumenti di ricognizione interna per mappare la rete locale, identificare altri dispositivi vulnerabili e preparare attacchi più mirati. Questa capacità di "movimento laterale" all’interno di una rete è una delle caratteristiche più pericolose di AryStinger, poiché consente agli attaccanti di espandere il proprio raggio d’azione oltre il dispositivo inizialmente compromesso.

Le vulnerabilità sfruttate e perché rimangono un problema diffuso

Le vulnerabilità utilizzate da AryStinger, come CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837, sono note da anni e sono state risolte dai produttori con aggiornamenti del firmware. Tuttavia, molti utenti non applicano questi aggiornamenti, lasciando i propri dispositivi esposti ad attacchi. Questo problema è particolarmente diffuso nei router consumer, che spesso vengono aggiornati solo in occasione di problemi evidenti, e nei sistemi NAS, che possono essere trascurati a causa della loro percezione come dispositivi "secondari". La mancanza di aggiornamenti regolari è una delle principali cause della diffusione di botnet come AryStinger, poiché gli attaccanti continuano a sfruttare falle vecchie ma ancora presenti in milioni di dispositivi in tutto il mondo.

Un altro fattore che contribuisce alla diffusione di AryStinger è la mancanza di consapevolezza degli utenti sulla sicurezza dei dispositivi di rete. Molti utenti non sono a conoscenza dei rischi associati all’utilizzo di router obsoleti o non aggiornati, e spesso non sanno come verificare se il proprio dispositivo è vulnerabile. Inoltre, la complessità dei processi di aggiornamento del firmware e la mancanza di supporto da parte dei produttori per dispositivi fuori produzione rendono difficile per gli utenti proteggersi adeguatamente. Questo scenario è aggravato dal fatto che molti dispositivi NAS e router vengono utilizzati in ambienti domestici o in piccole aziende, dove le risorse dedicate alla sicurezza informatica sono limitate o inesistenti.

Come proteggersi da AryStinger e da botnet simili

Il primo e più importante passo per proteggersi da AryStinger è aggiornare regolarmente il firmware dei propri router e dispositivi NAS. Gli aggiornamenti spesso includono patch per vulnerabilità note e rappresentano la difesa più efficace contro attacchi che sfruttano falle vecchie. Per i router D-Link DIR-850L e DIR-818LW, verificare la disponibilità di aggiornamenti sul sito ufficiale del produttore e applicarli tempestivamente. Se il produttore non offre più supporto per il modello in uso, considerare la sostituzione del dispositivo con un modello più recente e supportato. Anche se questo comporta un costo, è un investimento necessario per garantire la sicurezza della propria rete.

Un altro passo fondamentale è disabilitare l’accesso remoto ai dispositivi di rete, se non strettamente necessario. Molti router e NAS consentono l’accesso da remoto tramite porte specifiche, ma questa funzionalità può essere sfruttata dagli attaccanti per compromettere il dispositivo. Se l’accesso remoto è indispensabile, utilizzare connessioni VPN o altre soluzioni di sicurezza per proteggere il traffico. Inoltre, è consigliabile cambiare la password predefinita del dispositivo con una password complessa e univoca, e disabilitare servizi come Telnet o FTP, che spesso vengono utilizzati dagli attaccanti per accedere ai dispositivi. Infine, monitorare regolarmente il traffico di rete per rilevare attività sospette, come connessioni a server di comando e controllo o tentativi di scansione non autorizzati.

Cosa possono fare le aziende e gli amministratori di rete

Per le aziende e gli amministratori di rete, la minaccia rappresentata da AryStinger sottolinea l’importanza di una strategia di sicurezza proattiva. Innanzitutto, è essenziale mappare tutti i dispositivi di rete e identificare quelli obsoleti o non aggiornati, poiché questi rappresentano i principali bersagli degli attaccanti. Una volta identificati, questi dispositivi devono essere sostituiti o isolati in una rete separata per limitare il rischio di compromissione. Inoltre, implementare soluzioni di monitoraggio della rete, come IDS/IPS (Intrusion Detection/Prevention System), può aiutare a rilevare attività malevole in tempo reale e a bloccare gli attacchi prima che causino danni.

Un altro aspetto critico è la formazione degli utenti e degli amministratori di rete sulle best practice di sicurezza. Molti attacchi, inclusi quelli basati su botnet come AryStinger, sfruttano errori umani o mancanza di consapevolezza. Programmi di formazione regolari possono aiutare a ridurre il rischio di compromissione, insegnando agli utenti come riconoscere tentativi di phishing, come gestire correttamente le password e come segnalare attività sospette. Inoltre, collaborare con team di threat intelligence può fornire informazioni aggiornate sulle nuove minacce e sulle tattiche utilizzate dagli attaccanti, consentendo una risposta più rapida ed efficace.

Il futuro delle botnet e le tendenze emergenti

L’ascesa di botnet come AryStinger riflette una tendenza più ampia nel panorama delle minacce informatiche: l’evoluzione verso architetture distribuite e modulari, che consentono agli attaccanti di sfruttare una gamma sempre più ampia di dispositivi. Questa tendenza è guidata da diversi fattori, tra cui la crescente diffusione di dispositivi IoT (Internet of Things), la mancanza di aggiornamenti di sicurezza per molti dispositivi legacy e l’automazione degli attacchi tramite l’uso di strumenti open-source. Inoltre, l’aumento della potenza di calcolo e della connettività delle reti domestiche e aziendali offre agli attaccanti nuove opportunità per eseguire attacchi su larga scala.

Un’altra tendenza preoccupante è l’integrazione di strumenti di penetration testing open-source all’interno dei malware, come osservato nella variante NAS di AryStinger. Questo approccio non solo rende gli attacchi più efficaci, ma anche più difficili da rilevare, poiché gli strumenti utilizzati sono legittimi e ampiamente utilizzati dagli amministratori di rete. Gli attaccanti stanno inoltre sfruttando tecniche di offuscamento e crittografia per nascondere il proprio traffico e eludere i sistemi di rilevamento. In questo contesto, la collaborazione tra ricercatori di sicurezza, produttori di dispositivi e utenti finali è essenziale per sviluppare difese efficaci e ridurre l’impatto di queste minacce.

Cosa monitorare nei prossimi mesi

Nei prossimi mesi, gli esperti di sicurezza dovrebbero monitorare attentamente l’evoluzione di AryStinger e delle sue varianti, in particolare la versione per NAS, che potrebbe diventare più diffusa man mano che gli attaccanti perfezionano le proprie tattiche. È probabile che gli attaccanti cercheranno di sfruttare nuove vulnerabilità nei dispositivi di rete, in particolare quelli che stanno diventando obsoleti ma che rimangono ampiamente utilizzati. Inoltre, l’aumento dell’uso di dispositivi IoT in ambienti domestici e aziendali potrebbe offrire nuovi vettori di attacco per botnet come AryStinger.

Un altro aspetto da monitorare è l’eventuale utilizzo dell’infrastruttura di scansione DNS di AryStinger per generare volumi elevati di query contro i resolver. Sebbene al momento non siano state osservate attività malevole di questo tipo, la capacità di sfruttare risorse legittime per eseguire attacchi DDoS o altre operazioni dannose rappresenta una minaccia concreta. Infine, è importante tenere d’occhio le risposte dei produttori di dispositivi di rete, che potrebbero rilasciare aggiornamenti di sicurezza o ritirate prodotti obsoleti per limitare la diffusione di botnet come AryStinger. Gli utenti, nel frattempo, devono rimanere vigili e adottare misure proattive per proteggere i propri dispositivi.