文章总结： Arystinger恶意程序利用CVE-2013-3307、CVE-2016-5685等老旧漏洞秘密劫持全球超4300台搭载RTL819x芯片的老旧路由器，构建隐蔽的间谍网络。该恶意软件具备零查杀特性，主要功能为分布式端口扫描、服务识别与子域名枚举等情报搜集，并通过中继节点隐藏攻击者。处置建议包括监测C2域名ajb8.com、dataexplore.cc，检查/tmp/bin路径异常文件，淘汰无固件更新的老旧设备。 综合评分： 87 文章分类： 恶意软件,漏洞分析,威胁情报,iot安全,网络安全

AryStinger 恶意程序秘密搭建间谍网络，劫持超 4300 台老旧路由器

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月23日 08:52 湖北

在小说阅读器读本章

去阅读

2026 年 3 月 12 日，奇安信威胁情报中心（XLab）威胁检测系统告警标记 IP 地址 107.150.106.14，该 IP 利用分别于 2013 年、2016 年披露的两处漏洞传播一款 Linux 二进制恶意程序。该程序在 VirusTotal 平台无任何杀毒引擎检出记录。攻击目标为搭载瑞昱 RTL819X 系列芯片的路由器，这类硬件在 2012 至 2015 年为主流产品，此后厂商便不再推送固件更新。情报团队根据源码路径线索 —— 该攻击项目名为 Ary-Attack，将该恶意软件家族命名为 AryStinger。

AryStinger 最显著的特征是不具备常见勒索、挖矿行为：它不会加密用户文件，也不会挖掘虚拟货币。

奇安信 XLab 发布的报告原文写道：“回溯至 2026 年 3 月 12 日，全网威胁感知系统监测到 IP 107.150.106.14，通过老旧漏洞 CVE-2013-3307 与 CVE-2016-5681 传播一款由 C 语言编写、VirusTotal 零查杀的 ELF 恶意样本。与利用物联网设备漏洞搭建 DDoS 僵尸网络、挖矿僵尸网络的常规攻击行为不同，本次攻击行动旨在搭建用于入侵侦查的基础设施集群，具备端口扫描、服务识别、子域名枚举等情报搜集能力。”

每一台被攻陷的路由器都会成为 XLab 定义的 “执行节点（Executor）”：该节点接收扫描任务，与其他受控设备并行执行扫描，再将探测结果回传给攻击者；同时借助中继节点层掩盖攻击者真实网络地址。

目前全球受感染路由器数量已超 4300 台，XLab 表示该数字仍在持续增长。本次攻击仅针对 RTL819X 芯片路由设备，网络存储（NAS）设备的受感染规模暂未统计。受感染设备以友讯（D-Link）产品为主，其中 DIR-850L 型号占已识别设备总量约 75%。按受害国家 / 地区划分：韩国占比 48% 位居首位，中国占 32% 紧随其后，其次为瑞典、马来西亚、新加坡。上述地区并非停止安全防护工具研发的地区，只是存量大量老旧路由器长期未被更换。

研究人员发现 AryStinger 存在两套独立编译版本。搭载 RTL819X 芯片路由器的版本采用 C 语言编写，程序被刻意精简裁剪 —— 老旧硬件性能不足以运行复杂程序。该版本主要执行大规模 DNS 扫描与流量隧道转发；通过 HTTP 协议与命令控制服务器（C2）通信，传输数据采用 Protobuf 序列化，并用硬编码密钥sh_#@!_2024_secret进行异或加密混淆流量；程序会下载 Dropbear SSH 程序并监听 2332 端口，以此实现持久驻留。

第二套编译版本使用 Go 语言开发，于 4 月 26 日出现，针对网络存储（NAS）设备，利用漏洞 CVE-2025-11837 实施攻击。该漏洞是威联通（QNAP）恶意软件清除组件中的代码注入漏洞，曾在 2025 年爱尔兰 Pwn2Own 黑客大赛现场演示，厂商于 2025 年 11 月推送补丁。攻击者在补丁发布不到五个月内就利用该漏洞发起攻击，这个利用窗口期短于绝大多数企业常规补丁更新周期。

Go 语言版本功能强大得多，内置多款扫描工具：集成 fscan 实现内网扫描，ksubdomain 与 httpx 用于子域名、Web 服务侦查，Tlsx 负责 TLS 指纹识别。其最灵活的功能模块为 ScriptWork，可直接在受害设备上执行攻击者下发的源代码。

报告中写道：“ScriptWork 模块支持执行 Shell 命令，同时可运行三类源码载荷：Go、Java、Python。该设计大幅提升攻击者作战灵活性，无需针对不同平台单独编译二进制程序，也不用关心目标设备处理器架构，只需下发源代码即可动态执行。”

但对攻击者而言，该方式存在弊端：源代码会明文落盘，解释器运行日志会留存审计记录，相比内存中直接运行二进制文件，更容易被安全设备检测捕获。

分布式任务调度架构是这套攻击体系设计最精巧的地方。

报告补充说明：“攻击者可将海量扫描任务切分为大量小型分片，下发至不同执行节点并行处理。借助类分布式架构，攻击者能高效完成前期资产测绘工作，为后续入侵行动的顺畅开展与成功率提供强力支撑。”

奇安信 XLab 团队搭建测试设备完成验证：观测到 C2 服务器下发一条.ba 顶级域名暴力破解任务，任务偏移量为 11654000000，意味着该节点仅负责全部 7 位长度子域名扫描任务中约 12% 的分片。全部受控设备协同覆盖完整扫描空间，单个节点仅处理分配给自己的任务片段。

硬编码密钥sh_#@!_2024_secret中包含数字 “2024”，说明该攻击行动启动时间早于 XLab 在 2026 年 3 月的捕获时间点。这一细节至关重要：若这套间谍基础设施自 2024 年起持续运作，其收集到的侦查数据规模或将十分庞大。目前 XLab 尚未将 AryStinger 关联至任何已知威胁组织，相关溯源调查仍在推进。

报告指出：“尽管 AryStinger 背后仍存在诸多未解疑点，但仅针对老旧路由设备实施定向攻击这一点，就足以证明其是不可轻视的真实网络威胁。”

国家安全部门警示：路由器是民众日常上网核心设备，一旦遭非法控制，不仅会威胁个人隐私与财产安全，甚至可能危害国家安全。

该攻击模式 —— 利用已停止厂商维护的老旧设备、通过 N 日漏洞攻陷设备，将其改造为入侵前期流量中继节点，与曼迪昂特（Mandiant）等厂商披露的作战中继节点网络（ORB） 特征高度吻合，此类网络常被具有官方背景的威胁组织使用。

报告表示：“更值得警惕的是，该恶意样本及其关联 C2 服务器在主流安全检测引擎中检出率极低。正是结合‘低检出率’与‘潜在高危害’双重风险，我们发布本篇研究报告，向安全行业共享分析成果，期望各界协同处置潜在风险，共同守护整体网络安全。”

无论 AryStinger 是国家级黑客组织工具，还是黑产售卖的初始访问权限基础设施，其底层攻击逻辑完全一致：利用无人维护的老旧硬件、陈年高危漏洞，隐蔽难追踪。

处置排查指引

1. 监测设备对外连接恶意程序 C2 与下载域名：ajb8.com、dataexplore.cc、dataexplore.co；
2. 检查路径/tmp/bin下是否存在非管理员手动上传的陌生二进制程序；
3. 排查系统进程，留意名为syswapd0h、syswapd0w的异常进程；
4. 根治方案（普遍落地滞后）：淘汰多年无固件更新的老旧网络设备。一台搭载 2015 年固件的路由器早已不属于安全网络设备，本质只是带网口的高危漏洞载体。

报告结尾总结：“一旦设备被具备侦查、隐蔽控制能力的 AryStinger 类恶意程序攻陷，等同于黑客在内网长期安放一台隐形监听设备与攻击跳板。大量老旧设备陆续失陷、汇聚形成大规模隐蔽僵尸网络后，必将对个人隐私、企业信息资产乃至国家关键信息基础设施造成持续性、隐蔽性、高破坏性的实质威胁。”

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《AryStinger 恶意程序秘密搭建间谍网络，劫持超 4300 台老旧路由器》