Falhas antigas em roteadores impulsionam crescimento do botnet AryStinger
A botnet AryStinger conseguiu montar uma infraestrutura global ao explorar vulnerabilidades antigas em milhares de roteadores que ainda estão em funcionamento, mas já fora do ciclo de suporte dos fabricantes. De acordo com análise da QiAnXin XLab, cerca de 4,3 mil dispositivos foram comprometidos, transformando-se em uma rede distribuída usada por criminosos para reconhecimento, mascaramento de tráfego e apoio a ataques mais complexos contra outros alvos.
O alvo principal da campanha são roteadores baseados em chips Realtek RTL819X, muito populares em equipamentos lançados entre 2012 e 2015. Embora considerados “antigos” sob a ótica de segurança, muitos desses aparelhos continuam em uso em residências e pequenas empresas, operando com firmwares desatualizados e sem correções para falhas conhecidas há anos.
Os operadores da AryStinger exploram vulnerabilidades documentadas há muito tempo, como as identificadas pelos códigos CVE-2013-3307 e CVE-2016-5681. Mesmo sendo brechas amplamente divulgadas na comunidade de segurança, a ausência de atualizações e a baixa conscientização dos usuários mantêm um grande número de roteadores expostos. Isso cria um terreno fértil para campanhas automatizadas de exploração, que vasculham a internet em busca de dispositivos desprotegidos.
Entre os equipamentos afetados estão modelos de marcas amplamente difundidas, como D-Link e Linksys, com destaque para o roteador D-Link DIR-850L. Uma vez bem-sucedida a invasão, o roteador passa a atuar como um nó intermediário dentro da botnet, funcionando como um “salto” para o tráfego malicioso direcionado a outros sistemas. O dispositivo, na prática, vira uma peça da infraestrutura criminosa, sem que o dono perceba.
Diferentemente de outras botnets frequentemente usadas para ataques de negação de serviço (DDoS) ou para gerar grandes volumes de tráfego malicioso, a AryStinger parece ter um foco mais silencioso e estratégico. Seu uso principal está ligado a atividades de reconhecimento: mapeamento de alvos, descoberta de serviços expostos à internet, identificação de subdomínios e construção de túneis para movimentar dados de forma discreta entre criminosos e suas vítimas.
Esse perfil mais “baixo” torna a detecção ainda mais desafiadora. O roteador continua roteando internet normalmente, sem quedas perceptíveis de desempenho para o usuário comum. Enquanto isso, em segundo plano, executa comandos recebidos pelos operadores da botnet, participa de varreduras de rede e serve de intermediário para conexões que buscam encobrir a origem real das atividades maliciosas.
A distribuição geográfica das infecções observadas mostra uma concentração importante na Coreia do Sul, que lidera o número de dispositivos comprometidos. Em seguida aparecem países como China, Suécia, Malásia e Singapura. Essa dispersão global é típica de botnets baseadas em roteadores, uma vez que esses equipamentos se encontram em praticamente qualquer ambiente conectado, de pequenas residências a escritórios remotos.
Os pesquisadores também identificaram uma variante da AryStinger voltada especificamente para dispositivos NAS (Network Attached Storage). A presença dessa versão indica uma possível ampliação do escopo da campanha: além de usar roteadores como ponte, os criminosos buscam comprometer equipamentos que armazenam dados sensíveis, potencialmente abrindo caminho para ataques de ransomware, roubo de informações e espionagem corporativa.
Do ponto de vista técnico, a escolha por explorar falhas antigas não é casual. Vulnerabilidades conhecidas, documentadas e com código de exploração pronto oferecem um caminho barato e eficiente para grupos maliciosos. Em muitos casos, não é necessário desenvolver novas técnicas: basta automatizar o escaneamento da internet, identificar dispositivos com firmwares vulneráveis e disparar ataques em massa. A grande quantidade de roteadores sem manutenção transforma essas brechas “velhas” em armas ainda muito eficazes.
Essa realidade expõe um problema estrutural: roteadores domésticos e de pequenas empresas são frequentemente encarados como “caixas pretas” que só recebem atenção quando a internet cai. Atualizações de firmware, troca de senhas padrão e desativação de serviços desnecessários raramente são prioridades para o usuário final. Para os criminosos, isso representa uma oportunidade constante de construir e expandir botnets como a AryStinger, com baixo risco de detecção.
A situação também evidencia desafios para fabricantes e provedores de acesso. Muitos equipamentos são vendidos com suporte limitado no tempo, deixando de receber correções de segurança poucos anos após o lançamento, embora continuem operando por uma década ou mais. Sem políticas claras de atualização ou substituição, esses dispositivos se tornam parte de um “legado inseguro” que permanece conectado à rede mundial, pronto para ser cooptado em campanhas maliciosas.
Para usuários domésticos e pequenas empresas, algumas medidas básicas podem reduzir significativamente o risco de infecção. Manter o firmware do roteador sempre atualizado, desativar acesso remoto se não houver necessidade, trocar senhas padrão por combinações fortes e únicas, e considerar a substituição de equipamentos muito antigos são passos essenciais. Em ambientes com mais recursos, monitorar o tráfego de saída e criar alertas para comportamentos anômalos também ajuda a identificar possíveis comprometimentos.
Outro ponto importante é a conscientização de que o roteador é, de fato, um ativo crítico de segurança. Quando um dispositivo desse tipo é sequestrado, ele não coloca em risco apenas a própria rede local; passa a ser uma peça em uma engrenagem criminosa maior, contribuindo para ataques a outras organizações, governos e infraestruturas sensíveis ao redor do mundo. Em outras palavras, negligenciar a segurança do roteador não afeta apenas o usuário, mas também o ecossistema digital como um todo.
Especialistas alertam ainda para o papel crescente das botnets focadas em reconhecimento e movimentação discreta de dados. Enquanto os ataques volumétricos chamam atenção pela visibilidade e impacto imediato, campanhas como a da AryStinger são mais sutis, mas podem servir como etapa preparatória para ataques muito mais graves. Mapear serviços expostos, identificar pontos fracos em arquiteturas de rede e construir rotas encobertas são elementos fundamentais em operações avançadas de intrusão.
Por fim, a expansão da AryStinger reforça uma lição recorrente na cibersegurança: falhas antigas não desaparecem sozinhas. Enquanto houver dispositivos vulneráveis em produção, mesmo vulnerabilidades descobertas há mais de uma década continuarão sendo exploradas. A combinação de equipamentos desatualizados, falta de manutenção e ausência de políticas claras de ciclo de vida para hardware de rede cria o cenário perfeito para que botnets baseadas em roteadores continuem se proliferando e se reinventando ao longo do tempo.