Một mạng botnet mới được phát hiện có tên AryStinger đã âm thầm chiếm quyền điều khiển hơn 4.300 thiết bị router trên toàn cầu, biến chúng thành một đội quân proxy tấn công thầm lặng. Kẻ tấn công đang khai thác các lỗ hổng bảo mật đã có từ hơn một thập kỷ để xây dựng cơ sở hạ tầng do thám bí mật. Điều đáng lo ngại là cách thức mà chiến dịch này có thể ẩn mình hiệu quả khỏi các công cụ bảo mật truyền thống, cho thấy một mối đe dọa mạng tinh vi.
AryStinger: Botnet Khai Thác Lỗ Hổng Cũ
Chiến dịch này lần đầu tiên được phát hiện vào ngày 12 tháng 3 năm 2026. Một hệ thống giám sát mối đe dọa toàn mạng đã cảnh báo về một địa chỉ IP đáng ngờ đang phát tán mã độc thông qua hai lỗ hổng router đã biết: CVE-2013-3307 và CVE-2016-5681.
Chi tiết các lỗ hổng bị khai thác
Các lỗ hổng này ảnh hưởng đến nhiều mẫu router của Linksys và D-Link, có tuổi đời hơn mười năm. Mã độc được phát tán hoàn toàn không bị phát hiện bởi hầu hết các nền tảng quét bảo mật lớn, cho thấy khả năng ẩn mình đáng kể của nó.
Nghiên cứu từ Qianxin XLab đã xác định và ghi nhận chiến dịch tấn công bất thường này. Họ lưu ý rằng mục tiêu là các thiết bị router được xây dựng trên chip dòng RTL819X, dòng chip được sử dụng rộng rãi nhất trong khoảng thời gian từ năm 2012 đến 2015.
Sau đó, vào ngày 26 tháng 4, một mẫu liên quan nhắm vào các thiết bị NAS đã được thu thập, lây lan qua lỗ hổng CVE-2025-11837. Dựa trên đường dẫn mã nguồn và hành vi của nó, nhóm nghiên cứu đã đặt tên cho họ mã độc mới này là AryStinger.
Mục Đích Tinh Vi: Từ Proxy Tấn Công Đến Do Thám Mạng
Không giống như các botnet thông thường tập trung vào tấn công DDoS hoặc đào tiền mã hóa, AryStinger được xây dựng cho mục đích tinh vi hơn nhiều. Nó được thiết kế để thu thập thông tin một cách âm thầm và đóng vai trò là điểm khởi đầu cho các cuộc xâm nhập sâu hơn.
Thiết bị router bị nhiễm trở thành một node ẩn danh, giúp kẻ tấn công che giấu vị trí thực của chúng trong khi tiến hành do thám trên các mạng khác. Điều này làm cho việc truy vết và xác định nguồn gốc cuộc tấn công trở nên cực kỳ khó khăn.
Cấu trúc Botnet và Cơ chế Hoạt động
Khóa mã hóa cứng được tìm thấy bên trong AryStinger là “sh_#@!_2024_secret”, cho thấy chiến dịch này có thể đã hoạt động từ ít nhất năm 2024. Quy mô đầy đủ của hoạt động vẫn chưa được biết, vì số lượng thiết bị bị nhiễm hiện tại chỉ bao gồm các router RTL819X và chưa phản ánh số lượng thiết bị NAS có thể đã bị xâm phạm.
Khi AryStinger lây nhiễm vào một router, nó sẽ đăng ký thiết bị với một máy chủ điều khiển và chỉ huy (C2) bằng cách gửi dữ liệu nhận dạng thiết bị, bao gồm địa chỉ MAC, địa chỉ IP, phiên bản hệ điều hành và kiến trúc CPU. Dữ liệu này được mã hóa trước khi truyền đi.
Máy chủ C2 sau đó sẽ gán cho mỗi thiết bị bị nhiễm một ID Executor duy nhất, biến nó thành một node được quản lý trong mạng botnet. Mỗi node bị nhiễm, được gọi là Executor, sẽ nhận một phần nhỏ của nhiệm vụ quét lớn hơn. Kẻ tấn công phân phối các phần nhiệm vụ này trên hàng trăm thiết bị đồng thời, cho phép quét do thám nhanh chóng và phân tán trên toàn bộ internet.
Chức Năng Của Các Node Executor
Botnet hỗ trợ quét cổng, xác định dịch vụ, liệt kê tên miền phụ và đường hầm (tunneling) lưu lượng truy cập, tất cả đều giữ cho danh tính thực của kẻ tấn công được che giấu. Điều này làm cho AryStinger trở thành một công cụ mạnh mẽ cho các cuộc tấn công mạng quy mô lớn và phức tạp.
Phân Tích Phiên Bản và Khả Năng Thực Thi
AryStinger tồn tại dưới hai phiên bản riêng biệt nhưng chia sẻ cùng một logic cốt lõi. Phiên bản RTL819X được viết bằng ngôn ngữ C và là một bản dựng tinh gọn, được tạo ra đặc biệt cho các router cũ. Phiên bản này tập trung chủ yếu vào chức năng quét DNS và tunnel.
Phiên bản Tiêu chuẩn được viết bằng Go và nhắm mục tiêu vào các thiết bị NAS. Phiên bản này có bộ tính năng rộng hơn, bao gồm quét mạng nội bộ, thực thi script và khả năng chạy các payload được viết bằng Go, Java hoặc Python. Khả năng này cho phép kẻ tấn công tùy chỉnh và mở rộng phạm vi tấn công một cách linh hoạt.
Tính Năng ScriptWork và Thực Thi Mã
Tính năng ScriptWork của phiên bản Tiêu chuẩn đặc biệt linh hoạt, cho phép kẻ tấn công gửi mã thô trực tiếp đến các thiết bị bị nhiễm mà không cần biên dịch các tệp nhị phân riêng biệt cho các nền tảng khác nhau. Điều này giúp tăng tốc độ triển khai và giảm thiểu công sức của kẻ tấn công.
Cả hai phiên bản đều thiết lập các backdoor dai dẳng trên các thiết bị bị nhiễm, thông qua một máy chủ SSH nhẹ có tên dropbear hoặc thông qua gs-netcat. Điều này cung cấp cho kẻ tấn công quyền truy cập từ xa lâu dài vào các hệ thống bị xâm nhập.
Các Lỗ Hổng Và Khuyến Cáo Bảo Mật
Các thiết bị bị nhiễm chủ yếu là các router D-Link DIR-850L, chiếm khoảng 75% tổng số các ca nhiễm được biết đến. Hàn Quốc có tỷ lệ nhiễm cao nhất với 48,45%, tiếp theo là Trung Quốc với 31,82%, Thụy Điển với 6,40%, Malaysia với 3,50% và Singapore với 2,50%.
Các nhà nghiên cứu bảo mật khuyến nghị mạnh mẽ rằng người dùng nên kiểm tra lưu lượng mạng của họ để phát hiện bất kỳ giao tiếp nào với các tên miền và địa chỉ IP IOC được liệt kê trong báo cáo. Điều này giúp phát hiện sớm các hoạt động đáng ngờ.
Người dùng cũng nên kiểm tra thư mục /tmp/bin trên thiết bị của họ để tìm các tệp không xác định. Việc kiểm tra này có thể giúp phát hiện sự hiện diện của mã độc AryStinger.
Ngoài ra, người dùng nên xác minh xem các tiến trình có tên syswapd0h hoặc syswapd0w có đang hoạt động hay không. Sự hiện diện của các tiến trình này có thể là dấu hiệu của việc thiết bị đã bị xâm nhập bởi AryStinger.
Biện pháp Phòng ngừa và Bảo vệ
Bất kỳ router nào có firmware chưa nhận được cập nhật trong nhiều năm nên được thay thế hoặc ngắt kết nối khỏi mạng mà không chậm trễ. Các thiết bị cũ thường chứa các lỗ hổng bảo mật chưa được vá, làm cho chúng trở thành mục tiêu hấp dẫn cho các chiến dịch tấn công như AryStinger.
Việc cập nhật bản vá thường xuyên cho tất cả các thiết bị mạng là một biện pháp phòng ngừa quan trọng để giảm thiểu rủi ro bị tấn công.
Các Chỉ số về Sự cố (Indicators of Compromise – IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.] ) để tránh phân giải hoặc tạo siêu liên kết vô tình. Chỉ làm rõ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- URL Dữ liệu:
https://ppl-ai-file-upload[.]amazonaws[.]com/web/direct-files/attachments/11146061/0610c691-1449-4383-9e4b-fb7b1bcc6a00/AryStinger-Botnet-Hijacks-4300-Routers-to-Build-Global-Attack-Proxy-Network[.]pdf?AWSAccessKeyId=ASIA2F3EMEYERLUFSHRF&Signature=5wc0hXAIPMsPyqo%2BY17%2F977IYGM%3D&x-amz-security-token=IQoJb3JpZ2luX2VjEDoaCXVzLWVhc3QtMSJHMEUCIQCgN3wl34kpCDg54fmueIiZCrOxN9cXlz1RqAcYp4lzhgIgWGnvzOWMwm9gOHeBMnMaB7QqPEn%2BofxmYzEWh5HrQFcq8wQIAhABGgw2OTk3NTMzMDk3MDUiDGDR8dJwA74KVi5emyrQBCryTDyxI8oUiR7xT59LQwG%2B6bABMYENdDh3Ee3Kq0oSTR%2FsVyBfrzPn6N%2Fern6piX0cIim1oO%2BG%2BZ%2Br7UvJjI%2FcY4QLF4oBPCuAop3B1a%2Fg8kEV3MSszKabDA8kK0a81oTLr1SX8CqQ%2FEzIzOwfiCt5Hn1n07lvIZeVRJ6vYQ1ARSJ%2BoHB5h57vvLVMZJtaXqpKsZCc4PvliE6uhTIgGm2UHxr0T1JkjHBAIzABg0aPzpZU5QIY8Qg0JUdg34miZM9hBdoLWuWYykRvYwGulZ2Zy1ZE0yOqwQNY20pwG7RekMMW6kZpbXMKaAYhZXRx3agDq2%2BB%2B%2Buvei8HnTVT9HpwLftxleg%2B0w0M7ULqPdiZ3YQNnE2bfvpuljDM8Qoqj80Kl6VymIFTwcpeLKdZv%2FLek8xvu4UFvYm10516puzFW43vQswghBUeh2nZKz7xwOVF3qj9qsz6T7Pp73dnvTyt2Q0SEtMHi65Y%2BOaDHqmsmjOsCf6QSKWFsUXb0RfXhQaEoSGXuaHvBXbMjZ7Fj4zuginfTyjSKHkyOJLgmsc5c1XcQMmdlqznRIIFafNvc8UIl6lhk6a5Ln2wDGaLgZ%2F5fjWTnhiDl6zZa8u1E%2BR4ObSqcsluXp3308kElYOoCFsHOlkY57lIsQG67ZfcQ5x4JM%2FhGiv5nF8iqlUXIGx4tZ684j1HKGT4PYEtp3oKSs5QGi817b3HKYFirHT1WwDRsuIaExQwDgzB5OGl6vhtLTc9QPrtpvzaBuogdFmHLVBwKsil07Y10cqYJws6pK8wlfnj0QY6mAGk9jLE5FemyK4X7BH6FwGb2IvrUIHLtnk242fGXXREVDPEMQU%2BjsFunHjI5QPCsP4l2AfnBgo7ZOCc3jnjOdLSjSwVGM7XwfXJrVF%2FpFfDO26U4XWzv0MiQnpWDi%2FTFfN3ilbwqWSjkQZZDuBma9PG5RSm109kB9agCMuAsfaz9P%2F3GjLNzFNfKEpIPcyN%2FscPLnD7y9BbyA%3D%3D&Expires=1782123112- Mã độc: AryStinger
- Các lỗ hổng liên quan: CVE-2013-3307, CVE-2016-5681, CVE-2025-11837
- Các tệp đáng ngờ:
/tmp/bin - Các tiến trình đáng ngờ:
syswapd0h,syswapd0w - Thiết bị mục tiêu: Router (Linksys, D-Link dòng RTL819X), Thiết bị NAS
- Khóa mã hóa cứng (gợi ý thời gian hoạt động): “sh_#@!_2024_secret”
Để có thêm thông tin chi tiết và phân tích chuyên sâu về các lỗ hổng zero-day và các mối đe dọa mới nhất, hãy tham khảo báo cáo gốc từ Qianxin XLab: AryStinger Botnet Hijacks Legacy Routers for Global Attacks.
