文章总结： AryStinger僵尸网络感染全球4000多台D-Link路由器，主要针对暴露公网且缺乏维护的老旧设备。该事件凸显边界设备安全风险，攻击者可利用受控路由器进行流量转发、扫描和后续攻击。文档提出七项具体应对措施，包括资产盘点、关闭远程管理、更换默认口令、网络分区和流量监测等实用建议。 综合评分： 85 文章分类： 漏洞分析,恶意软件,网络安全,IoT安全,安全运营

AryStinger 感染 4000 多台路由器：家用网关，正在变成僵尸网络入口

原创

tcode tcode

字节脉搏实验室

2026年6月22日 10:34 北京

在小说阅读器读本章

去阅读

事件概述

    过去 24 小时内，BleepingComputer 报道称，奇安信 XLab 跟踪到名为 AryStinger 的僵尸网络，已感染 4000 多台 D-Link 路由器。报道引用的研究显示，受影响设备多为暴露在公网、长期缺少维护的老旧路由器。

    这类事件最容易被低估。电脑弹窗、手机异常、账号被盗，用户往往能很快感知；但路由器被控制后，家里或办公室的网络看起来可能仍然“能上网”。它不一定立刻影响日常使用，却可能在后台参与异常流量转发、扫描、代理滥用或后续攻击准备。

核心事实

    第一，安全社区关注的对象不是一台电脑上的病毒，而是网络边界设备。路由器处在所有终端之前，一旦被控制，攻击者更容易隐藏来源、观察流量或把它当作跳板。

    第二，本次公开信息中反复出现的关键词是“老旧”“暴露”“缺少维护”。这说明风险并不只属于某个型号。任何长期不更新、仍开放远程管理、使用弱口令或默认配置的家用与小微企业网关，都可能处在类似风险里。

    第三，研究和媒体报道没有要求普通用户复现攻击链。对企业和个人来说，真正要做的是尽快确认自己的边界设备是否仍受支持、是否暴露在公网、是否存在异常配置和异常流量。

影响分析

    对普通家庭来说，路由器被纳入僵尸网络后，最直接的风险是网络被滥用。用户可能遇到网速异常、运营商告警、账号风控、访问服务被拦截等问题。更隐蔽的风险是，攻击者借由路由器位置观察内部设备，寻找摄像头、NAS、打印机、智能家居等更脆弱的目标。

    对小微企业来说，风险更重。很多门店、办公室、仓库使用的仍是消费级路由器，承担着收银、办公、监控、访客 Wi-Fi 等多种网络角色。一旦这类设备被控制，企业不仅可能成为攻击流量来源，还可能让内部资产暴露在更复杂的后续入侵链路中。

    对安全团队来说，这类事件提醒我们：资产清单不能只统计服务器和终端。路由器、交换机、VPN 网关、无线 AP、摄像头网关等边界和物联网设备，必须进入漏洞管理和配置审计范围。

应对建议

    1.先做资产盘点。确认家里、办公室、门店到底有几台路由器和无线 AP，记录品牌、型号、固件版本和管理入口。

    2.查设备是否仍受支持。若设备已经停止更新，优先替换，而不是长期依赖一次性改密码。

    3.关闭公网远程管理。普通用户和多数小微企业不需要把路由器管理页面暴露在互联网上。确需远程运维时，应使用 VPN、白名单和强认证。

    4.更换默认口令，关闭不必要功能。包括默认管理员密码、弱口令、过度开放的端口映射、无需使用的 UPnP、WPS 等。

    5.检查异常配置。重点看 DNS、代理、端口转发、未知管理员账号、异常计划任务和陌生固件来源。

    6.做网络分区。把摄像头、智能设备、访客 Wi-Fi 与办公电脑、NAS、财务设备分开，降低单点失守后的横向影响。

    7.企业侧增加流量监测。对边界设备的异常外联、突增扫描、陌生国家或地区连接、DNS 异常解析做告警。

事实、推测与观点区分

    事实：BleepingComputer 在 2026 年 6 月 21 日报道 AryStinger 僵尸网络感染 4000 多台 D-Link 路由器，报道引用了奇安信 XLab 的研究。

    合理推测：受害面可能集中在老旧、暴露、缺少维护的设备上，类似风险也可能出现在其他长期不维护的边界设备中。

    本文观点：家庭和小微企业的安全短板，正在从“电脑有没有装杀毒”转向“网络入口有没有被看见、被管理、被替换”。

结语

    路由器最大的风险，往往不是它突然坏掉，而是它安静地继续工作，却已经不再只为你工作。今天检查一次边界设备，可能比以后处理一次入侵事件便宜得多。

关键来源

·BleepingComputer, “AryStinger botnet infected thousands of D-Link routers worldwide”, 2026-06-21 10:14 AM: https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/

·奇安信XLab 研究博客，AryStinger 相关研究入口: https://blog.xlab.qianxin.com/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：字节脉搏实验室 tcode tcode《AryStinger 感染 4000 多台路由器：家用网关，正在变成僵尸网络入口》