Tisíce starších routerov tejto značky po celom svete ovládol botnet AryStinger. Predávali sa aj u nás
Starý router môže fungovať normálne, no zároveň slúžiť hackerom. Botnet AryStinger zneužíva zastarané zariadenia na sledovanie prevádzky, zmenu DNS aj ďalšie útoky.
Trinásť rokov staré zraniteľnosti, routery bez podpory a malvér, ktorý z nich vie spraviť nástroj na sledovanie aj ďalšie útoky. Takto sa správa AryStinger, botnet, ktorý podľa výskumníkov zo spoločnosti QiAnXin XLab infikoval viac než 4 300 routerov po celom svete. Ich majitelia pritom nemusia tušiť, že sa s ich domácou sieťou niečo deje.
Zastaraný router nie je len pomalý internet. Môže byť otvorenými dverami do tvojej siete
Väčšina ľudí router nerieši. Zapojí ho, nastaví heslo a potom naň roky nesiahne. Na toto útočníci spoliehajú. AryStinger sa pri starých routeroch šíri cez zraniteľnosti CVE-2013-3307 a CVE-2016-5681, teda cez bezpečnostné chyby známe už viac než desať rokov. Napriek tomu sú tisíce zariadení stále neopravené, zapnuté a pripojené k internetu.
Podľa XLab ide najmä o routery postavené na čipoch série RTL819X, ktoré sa bežne používali približne v rokoch 2012 až 2015. Pri sieťovej bezpečnosti je to veľmi dlhý čas. Router môže doma stále rozdávať Wi-Fi a pôsobiť úplne normálne, no ak už nedostáva opravy, útočník ho môže zneužiť bez toho, aby si si všimol jasný problém.
AryStinger si z napadnutých routerov buduje sieť zariadení, ktoré dokážu skenovať internet, hľadať otvorené služby a mapovať ciele pre ďalšie útoky. Nejde teda len o klasické zneužitie na ťažbu kryptomien alebo viditeľné DDoS útoky. Router sa v takom prípade stane súčasťou prípravnej fázy útoku, pričom stopa nevedie priamo k hackerovi, ale k cudzej domácej sieti.
Napadnutý router kryje útočníka. Navonok to vyzerá ako bežná domáca sieť
Každé napadnuté zariadenie označujú výskumníci ako Executor, teda vykonávateľa príkazov. Útočník môže veľkú skenovaciu úlohu rozdeliť na menšie časti a poslať ich stovkám alebo tisícom infikovaných routerov naraz. Takto vie rýchlo mapovať porty, služby alebo subdomény bez toho, aby všetka aktivita vychádzala z jedného miesta. Pre obranu je to nepríjemné, lebo žiadna jedna IP adresa nemusí vyzerať ako hlavný zdroj útoku.
Neprehliadni
Keď bezpečnostný tím sleduje podozrivú aktivitu, môže vidieť IP adresu domáceho routera v Južnej Kórei, Číne alebo Švédsku, nie skutočného útočníka. Ten zostáva schovaný za vrstvou cudzích zariadení. Router je v takom prípade obeťou, ale zároveň aj nástrojom, cez ktorý sa útočí ďalej.
Router môže byť napadnutý celé mesiace. Navonok pritom stále funguje normálne
Problém zhoršuje aj nízka viditeľnosť tejto kampane v bezpečnostných nástrojoch. XLab upozorňuje, že škodlivé vzorky aj súvisiace riadiace servery mali veľmi nízku mieru detekcie. Keď ich systém 12. marca 2026 zachytil šírenie jednej ELF vzorky z IP adresy 107.150.106.14, v tom čase ju bežné antivírusové enginy na VirusTotal neoznačovali ako škodlivú.
Markus Spiske), Úprava: Vosveteit.sk
Router tak môže byť infikovaný dlhší čas bez jasného varovania. Spomalenie internetu si môžeš vysvetliť operátorom, rušením Wi-Fi alebo starým zariadením. Nezvyčajnú sieťovú aktivitu bez logov a monitoringu prakticky neodhalíš. A povedzme si otvorene, väčšina domácich používateľov logy routera nikdy neotvorila.
Útočníci sa nezastavili pri routeroch. Nebezpečnejšia verzia cieli aj na sieťové úložiská
Koncom apríla 2026 výskumníci zachytili aj príbuznú verziu AryStingera napísanú v jazyku Go. Tá sa zameriava na NAS zariadenia, teda sieťové úložiská používané doma alebo v malých firmách. Šírila sa cez zraniteľnosť CVE-2025-11837 a je schopnejšia než verzia pre staré routery. Okrem IP a DNS skenovania dokáže zisťovať dostupné webové služby, spúšťať príkazy a pracovať aj so zdrojovým kódom v jazykoch Go, Java a Python.
Táto verzia využíva aj nástroje ako fscan, ksubdomain, httpx či Tlsx. Útočník tak môže napadnuté NAS zariadenie použiť nielen ako uzol na prieskum, ale aj na mapovanie vnútornej siete. Tunelovanie rieši cez dodatočne sťahovaný nástroj, ktorý na infikovanom zariadení vytvára kanál na proxy alebo presmerovanie prevádzky.
Pri komunikácii malvér používa hardcodovaný kľúč s reťazcom „2024_secret“. Výskumníci netvrdia, že to automaticky dokazuje začiatok kampane v roku 2024, no pripúšťajú, že môže ísť o stopu k starším aktivitám. Aj preto pri AryStingeri stále zostáva viacero otvorených otázok.
Viac než 4 300 routerov je spodný odhad, nie strop celej kampane
Číslo 4 300 infikovaných zariadení vzniklo z mapovania konkrétneho správania. AryStinger na napadnutom routeri nasadzuje ľahký SSH server dropbear na konkrétnom porte a práve podľa toho ho výskumníci dokázali vyhľadávať. Tento údaj však pokrýva len routery z triedy RTL819X. Rozsah infekcie na NAS zariadeniach zatiaľ výskumníci nevedia presne odmerať. Nevedia ani to, či existujú ďalšie typy zariadení, ktoré AryStinger cieli.
Modely ako D-Link DIR-850L a DIR-818LW tvorili najväčšiu časť identifikovaných obetí, v menšom počte sa objavili aj DIR-816L, DIR-818L, DWR-118 a DIR-817LW. Nejde pritom o routery z jedného trhu. Predávali sa v rôznych častiach sveta, takže samotný fakt, že Slovensko sa v štatistikách nespomína, ešte neznamená nulové riziko.
Najväčšie riziko nie je len útok na iných. Útočník môže manipulovať aj tvoj internet
AryStinger nie je nebezpečný iba preto, že z tvojho routera môže útočiť na cudzie systémy. XLab upozorňuje aj na riziko sledovania prichádzajúcej a odchádzajúcej prevádzky. Zariadenie, cez ktoré doma prechádza celý internet, sa tak môže zmeniť na miesto, cez ktoré útočník vidí viac, než by mal.
Ešte citlivejšia je manipulácia DNS. DNS funguje ako telefónny zoznam internetu. Keď zadáš adresu webu, preloží ju na konkrétnu IP adresu. Ak útočník tento mechanizmus zmení, môže ťa presmerovať na falošnú stránku aj vtedy, keď do prehliadača napíšeš správnu adresu. Práve preto je napadnutý router taký vážny problém. Nestojí na konci siete, ale na jej začiatku.
Ak doma alebo v kancelárii používaš starý router, pri ktorom výrobca už nevydáva aktualizácie firmvéru, skontroluj jeho podporu. Pomôže aktualizácia firmvéru, zmena administrátorského hesla a vypnutie vzdialenej správy z internetu. Ak je však zariadenie mimo podpory výrobcu, najrozumnejším riešením je výmena. Router bez bezpečnostných opráv nie je len stará krabička pri televízore. Je to brána do tvojej siete a tú nechceš nechať otvorenú cudzím ľuďom.
