AryStinger-Botnetz: 4.300 Router und NAS-Systeme gekapert
22.06.2026 - 15:27:05 | boerse-global.de
300 veraltete Router und Speichergeräte gekapert hat. Das Botnetz nutzt jahrealte Sicherheitslücken, um eine verdeckte Infrastruktur für Spionage und Cyberangriffe aufzubauen.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-Report zur Cyber Security jetzt herunterladen
Alte Hardware, neue Gefahr
Im Visier der Angreifer stehen vor allem Geräte, die das Ende ihres Support-Zyklus längst überschritten haben. Rund 75 Prozent der infizierten Systeme sind D-Link DIR-850L Router. Hinzu kommen Modelle wie der D-Link DIR-818LW sowie diverse Hardware mit RTL819X-Chipsätzen aus den Jahren 2012 bis 2015.
Die Täter verschaffen sich Zugang über mehrere kritische Sicherheitslücken – darunter CVE-2013-3307 und CVE-2016-5681. Obwohl diese Schwachstellen teils über ein Jahrzehnt alt sind, bleiben sie gegen ungepatchte Altgeräte hochwirksam. Die Malware verwandelt die Geräte in sogenannte „Executors", die Port-Scans, Dienstidentifikation und Subdomain-Erkundung durchführen können.
Zwei Varianten für unterschiedliche Ziele
AryStinger kommt in zwei Varianten daher. Die erste ist ein C-basierter Schädling, der speziell für Router entwickelt wurde. Die zweite, deutlich raffiniertere Version ist in Go programmiert und tauchte erstmals Ende April dieses Jahres auf.
Die Go-Variante zielt auf NAS-Systeme (Network Attached Storage) ab – konkret auf QNAP-Geräte, die sie über die Schwachstelle CVE-2025-11837 kompromittiert. Sie bringt ein ganzes Arsenal an Netzwerk-Tools mit: fscan, ksubdomain, httpx und Tlsx. Besonders tückisch: Eine Komponente namens ScriptWork erlaubt es dem Botnetz, beliebige Schadsoftware in Go, Java, Python oder Shell-Script nachzuladen.
Darüber hinaus kann die Go-Variante die DNS-Einstellungen befallener Geräte manipulieren – ein Einfallstor, um Datenverkehr abzufangen oder umzuleiten.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Kostenloses Anti-Phishing-Paket sichern
Asien im Fokus – globale Reichweite
Die Verteilung der infizierten Geräte zeigt einen klaren Schwerpunkt in Asien. Südkorea führt mit rund 48,5 Prozent aller Infektionen, gefolgt von China mit 31,8 Prozent. Weitere nennenswerte Cluster finden sich in Schweden (6,4 %), Malaysia (3,5 %) und Singapur (2,5 %).
Die Forscher von QiAnXin XLab entdeckten die Infrastruktur am 12. März 2026. Auffällig: Das Botnetz betreibt weder DDoS-Attacken noch Krypto-Mining. Stattdessen fungiert es als verdecktes Proxy- und Scan-Netzwerk – ähnlich einer sogenannten Over-the-Road (ORB)-Infrastruktur, die genutzt wird, um die wahre Herkunft von Cyberangriffen zu verschleiern.
Keine eindeutige Zuordnung
Eine konkrete Tätergruppe konnten die Forscher bislang nicht identifizieren. Allerdings fand sich im Malware-Code ein fest einprogrammierter Schlüssel mit der Jahreszahl 2024. Das deutet darauf hin, dass die Operation bereits seit über einem Jahr läuft – möglicherweise weitgehend unbemerkt.
Als Kommando-und-Kontroll-Server identifizierten die Analysten unter anderem die Domains opi7.com, xook.ajb8.com und xonice.ahb8.com.
