An ninh mạng

AryStinger: Malware mới biến hàng nghìn router cũ thành mạng lưới proxy do thám

Các chuyên gia bảo mật vừa phát hiện dòng malware AryStinger đang lây nhiễm trên hơn 4.300 router cũ, biến chúng thành các nút mạng proxy để thực hiện các hoạt động do thám và tấn công tinh...

Nguyen Hung
22 Tháng 6, 2026 2 Min Read
2 0

Một dòng malware mới mang tên AryStinger đang biến các router gia đình đời cũ thành một mạng lưới proxy và do thám phân tán. Thay vì tạo ra các botnet để tấn công từ chối dịch vụ (DDoS) như thông thường, AryStinger tập trung vào việc thu thập thông tin tình báo trước khi thực hiện các cuộc tấn công chính thức.

Table Of Content

Phương thức hoạt động của AryStinger

Theo các chuyên gia từ XLab (QiAnXin), tính đến nay đã có ít nhất 4.300 thiết bị bị lây nhiễm và con số này vẫn đang tiếp tục tăng. Các thiết bị bị nhiễm sẽ thực hiện quét internet, định danh dịch vụ, liệt kê subdomain, tạo đường hầm lưu lượng (traffic tunneling) và thực thi lệnh từ xa theo yêu cầu của kẻ tấn công. Mỗi router đóng vai trò như một nút trung gian, giúp kẻ tấn công che giấu nguồn gốc thực sự của mình.

Lợi dụng các lỗ hổng cũ

Chiến dịch này chủ yếu nhắm vào các router sử dụng chip Realtek RTL819X (phổ biến trong giai đoạn 2012-2015). Malware khai thác các lỗ hổng bảo mật đã tồn tại từ lâu như CVE-2013-3307 trên các dòng Linksys và CVE-2016-5681 trên các thiết bị D-Link. Đáng chú ý, khoảng 75% thiết bị bị ảnh hưởng là dòng D-Link DIR-850L, tập trung chủ yếu tại Hàn Quốc và Trung Quốc.

Ngoài ra, một biến thể khác xuất hiện vào tháng 4/2026 đã nhắm vào các thiết bị NAS của QNAP thông qua lỗ hổng CVE-2025-11837, một lỗi tiêm mã độc (code injection) trong công cụ Malware Remover của QNAP.

Cấu trúc kỹ thuật

AryStinger được thiết kế với hai phiên bản tùy theo phần cứng:

  • Phiên bản cho Router: Viết bằng C, tối giản để phù hợp với phần cứng cũ, tập trung vào quét DNS và tunneling.
  • Phiên bản cho NAS: Viết bằng Go, có khả năng quét mạng nội bộ/ngoại vi và thực thi các công cụ do thám như fscan, ksubdomain. Tính năng “ScriptWork” cho phép kẻ tấn công thực thi mã nguồn Go, Java hoặc Python trực tiếp trên thiết bị mà không cần biên dịch binary riêng.

Malware duy trì sự bền bỉ (persistence) thông qua SSH server Dropbear trên cổng 2332 đối với router hoặc gs-netcat đối với NAS.

Khuyến nghị bảo mật

Để bảo vệ hệ thống, người dùng nên thực hiện các bước sau:

  • Kiểm tra các kết nối outbound đến các C2 server hoặc tên miền tải xuống đáng ngờ.
  • Kiểm tra thư mục /tmp/bin để tìm các file thực thi lạ.
  • Tìm kiếm các tiến trình có tên syswapd0h hoặc syswapd0w.
  • Giải pháp triệt để: Ngừng sử dụng các thiết bị đã hết vòng đời (end-of-life) không còn nhận được bản cập nhật firmware và tắt tính năng quản trị từ xa (remote administration) trên các thiết bị không cần thiết.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept