🔍 Contexte
Publié le 17 juin 2026 par les chercheurs Alex.Turing et Acey9 du laboratoire XLab de QiAnXin, cet article présente une analyse technique détaillée du botnet AryStinger, découvert le 12 mars 2026 via le système de surveillance réseau XLab.
🎯 Campagne et vecteurs d’infection
Les attaquants exploitent des vulnérabilités anciennes pour compromettre des équipements réseau :
- CVE-2013-3307 et CVE-2016-5681 : ciblant des routeurs Linksys et D-Link basés sur les puces RTL819X (ère 2012-2015)
- CVE-2025-11837 : ciblant des périphériques NAS (détecté le 26 avril 2026)
Le vecteur initial est un script shell téléchargeant et exécutant l’échantillon AryStinger depuis le serveur hgodpcx.ajb8.com.
🦠 Caractéristiques techniques du malware
AryStinger existe en deux versions :
Version RTL819X (C) :
- Ciblage des routeurs anciens Linksys/D-Link
- Fonctionnalités : massdns, tunnel
- Déploiement d’un backdoor SSH via dropbear sur le port 2332
- Communication C2 via HTTP/HTTPS avec encodage Protobuf + chiffrement XOR (clé hardcodée :
sh_#@!_2024_secret)
Version Standard (Go) :
- Ciblage des périphériques NAS
- Fonctionnalités étendues : scan IP, DNS, HTTP Alive, outils intégrés (fscan, ksubdomain, httpx, Tlsx)
- Déploiement d’un backdoor via gs-netcat
- 6 types de tâches C2 : ScriptWork, HttpAliveWork, intranetScan, etc.
🌐 Infrastructure C2
- Authentification :
eixfi.ajb8.com(interface/auth) - Téléchargement :
hgodpcx.ajb8.com - Tunnel :
sdkv1.dataexplore.ccetsdkv1.dataexplore.co - Chaque bot reçoit un Executor ID unique pour les communications ultérieures
📊 Échelle d’infection
Au moins 4 300 routeurs infectés dans le monde, principalement :
- Corée du Sud : 48,45%
- Chine : 31,82%
- Suède : 6,40%
- Malaisie : 3,50%
- Singapour : 2,50%
Modèles les plus touchés : DIR-850L (75%), DIR-818LW (13%).
⚙️ Capacités offensives
- Scan de ports et identification de services
- Énumération de sous-domaines (brute-force distribué)
- Tunneling et proxying de trafic
- Exécution de commandes système
- Exécution de payloads Go/Java/Python
- Pénétration réseau interne et latéralisation
- Potentiel d’attaque DDoS contre des résolveurs DNS
📄 Nature de l’article
Il s’agit d’une analyse technique approfondie publiée par QiAnXin XLab, visant à documenter une nouvelle famille de malware à faible taux de détection et à partager les indicateurs de compromission avec la communauté de sécurité.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1203 — Exploitation for Client Execution (Execution)
- T1059 — Command and Scripting Interpreter (Execution)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1132.001 — Data Encoding: Standard Encoding (Command and Control)
- T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
- T1090 — Proxy (Command and Control)
- T1021.004 — Remote Services: SSH (Lateral Movement)
- T1046 — Network Service Discovery (Discovery)
- T1016 — System Network Configuration Discovery (Discovery)
- T1033 — System Owner/User Discovery (Discovery)
- T1053 — Scheduled Task/Job (Persistence)
- T1543 — Create or Modify System Process (Persistence)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1496 — Resource Hijacking (Impact)
IOC
- IPv4 :
107.150.106.14— AbuseIPDB · VT · ThreatFox - Domaines :
hgodpcx.ajb8.com— VT · URLhaus · ThreatFox - Domaines :
eixfi.ajb8.com— VT · URLhaus · ThreatFox - Domaines :
sdkv1.dataexplore.cc— VT · URLhaus · ThreatFox - Domaines :
sdkv1.dataexplore.co— VT · URLhaus · ThreatFox - Domaines :
hgodpcx.auq8.com— VT · URLhaus · ThreatFox - URLs :
http://hgodpcx.ajb8.com/n— URLhaus - URLs :
https://hgodpcx.auq8.com/t— URLhaus - MD5 :
abae20b26b70b526bebb5e2617092ede— VT · MalwareBazaar - MD5 :
a5101caf0a1789d6a4bc30e644d6b152— VT · MalwareBazaar - CVEs :
CVE-2013-3307— NVD · CIRCL - CVEs :
CVE-2016-5681— NVD · CIRCL - CVEs :
CVE-2025-11837— NVD · CIRCL - Fichiers :
syswapd0 - Chemins :
/tmp/bin/syswapd0 - Chemins :
/tmp/bin/
Malware / Outils
- AryStinger (botnet)
- dropbear (backdoor)
- gs-netcat (tool)
- fscan (tool)
- ksubdomain (tool)
- httpx (tool)
- Tlsx (tool)
- massdns (tool)
🟢 Indice de vérification factuelle : 70/100 (haute)
- ⬜ blog.xlab.qianxin.com — source non référencée (0pts)
- ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
- ✅ 16 IOCs dont des hashes (15pts)
- ✅ 4/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 15 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/3 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
107.150.106.14(ip) → AbuseIPDB (51% confiance, 26 signalements) + VT (6/91 détections)hgodpcx.ajb8.com(domain) → VT (5/91 détections)eixfi.ajb8.com(domain) → VT (4/91 détections)sdkv1.dataexplore.cc(domain) → VT (5/91 détections)
🔗 Source originale : https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks-en/