警惕！AryStinger恶意软件至少已影响4300台路由器，数据还在增加！

#网安头条 ·2026-06-22 17:03:31

在数字文明飞速演进的背后，往往潜伏着被遗忘的阴影，那些被抛弃在角落、早已停止固件更新的旧款路由器，正成为黑客眼中最完美的“数字僵尸”。

近日，奇安信 XLab 实验室披露了一款名为 AryStinger 的新型恶意软件家族，它并未像传统的 IoT 病毒那样将受控设备转化为粗暴的 DDoS 攻击工具，而是极其隐蔽地将全球超过 4300 台老旧路由器编织成了一张庞大的分布式侦察与代理网络。这种从“暴力破坏”向“静默渗透”的范式转移，不仅揭示了网络攻击者在基础设施建设上的长远布局，更让那些处于生命周期终点的电子遗骸，成为了现代网络攻防战中最难以捉摸的“幽灵眼”。

而要看清 AryStinger 的庐山真面路，必须要关注其极具针对性的“狩猎”逻辑，它将目标精准锁定了基于瑞昱（Realtek）RTL819X 芯片的陈旧硬件，这些设备大多活跃于 2012 年至 2015 年间，早已被主流安全防线遗忘。

攻击者通过暴力拆解那些尘封已久的漏洞，如 D-Link 和 Linksys 路由器中十年前的 CVE 漏洞，轻而易举地接管了这些设备的控制权。更令人感到讽刺的是，AryStinger 的触角甚至延伸到了 QNAP 的 NAS 设备，其入侵路径竟然是利用了该设备自带的“恶意软件清除工具”中的代码注入漏洞。这种“以子之矛攻子之盾”的戏谑手段，真是伤害性不大，侮辱性不小。

然而，如果我们将目光从技术细节移开，会发现 AryStinger 最具深意的地方在于其功能定位的转变，它不再追求瞬间的流量爆发，而是致力于构建一套精密的“前置侦察体系”。

每一台被感染的路由器都化身为一个“执行者”（Executor），在后台都默默执行着互联网扫描、服务指纹识别、子域名枚举以及流量隧道转发等任务。这种设计让攻击者能够躲在数千个真实家庭 IP 的背后，像幽灵一样在目标网络的边缘反复试探，而不会触发任何基于地理位置或黑名单的警报。

在我看来，AryStinger 的崛起实际上是对“数字废弃物”治理命题的一次冷峻提醒，在追求极致性能迭代的今天，往往忽视了那些仍在运行却已失去保护的“电子遗迹”所蕴含的巨大风险。统计数据显示，受感染的设备中约有 48% 位于韩国，32% 位于中国，这种地理上的高度集中，暗示了该网络可能被用于针对特定区域的定向侦察。这种被称为“运营中继盒网络”（ORB）的模式，正在成为高级威胁参与者（APT）规避溯源的标配，他们利用这些“数字垃圾”构建起一道难以逾越的逻辑屏障，让防御者在追踪攻击源头时，往往只能止步于某个无辜家庭的旧路由器前。

而面对这种隐蔽而持久的威胁，简单的“打补丁”思维已然失效，因为这些老旧硬件的厂商早已停止了技术支持，它们在逻辑上已经成为了“不可修复”的漏洞。真正的防御策略必须建立在对资产生命周期的严苛管理之上，企业和个人用户应当建立起“强制退役”的意识，将那些停止固件更新的设备彻底物理隔离，而非任由其在公网上裸奔。

同时，网络运营商也应加强对异常出站连接的监测，特别是针对那些指向已知 C2 域名的 Protobuf 加密流量进行深度识别，从流量侧切断这些“幽灵眼”与指挥中心的联系。

总而言之，AryStinger 的出现标志着网络空间的基础设施对抗已进入“废物利用”的新阶段，那些被我们遗忘在弱电箱里的旧设备，正在算法的加持下焕发出邪恶的“第二春”。