Una nueva familia de malware está convirtiendo los enrutadores domésticos olvidados en una red distribuida de reconocimiento y proxy, no en la botnet DDoS en la que estos dispositivos suelen terminar. Laboratorio XL lo llama arystinger y cuenta con al menos 4.300 enrutadores infectados, un total que, según dice, sigue aumentando.

La distinción importa. AryStinger existe para la etapa de ataque que precede al asalto. Los dispositivos infectados escanean Internet, toman huellas dactilares, enumeran subdominios, canalizan el tráfico y ejecutan comandos a pedido, y luego envían los resultados al operador.

Cada enrutador se convierte en un nodo de huella y un relé que oculta dónde está el verdadero atacante.

Chips viejos, errores más viejos

La campaña persigue enrutadores construidos con chips RTL819X de Realtek, hardware que estuvo vigente entre 2012 y 2015. XLab lo vio por primera vez el 12 de marzo de 2026, difundiéndose desde una única IP, 107.150.106.14.

El binario que impulsó era un ELF de Linux que ningún motor de VirusTotal detectó, explotando dos fallas de otra época: CVE-2013-3307 en los modelos Linksys y CVE-2016-5681 en los D-Link.

El grupo infectado es principalmente D-Link, y el DIR-850L por sí solo representa alrededor del 75 por ciento. Por geografía, se inclina hacia Corea del Sur (alrededor del 48 por ciento) y China (alrededor del 32 por ciento), luego Suecia, Malasia y Singapur.

Una segunda cepa apareció el 26 de abril, dirigida a las cajas NAS de QNAP a través de CVE-2025-11837, una falla de inyección de código en Eliminador de malware de QNAP. El error se mostró en Pwn2Own Ireland 2025 y se corrigió en noviembre de 2025, meses antes de que esta cepa comenzara a usarlo.

La entrada es la propia herramienta de eliminación de malware del dispositivo. XLab no ha medido las infecciones de NAS, por lo que la cifra de 4.300 cubre únicamente los enrutadores RTL819X.

Dos construcciones, el mismo trabajo

Una constitución es delgada y la otra es más completa. La construcción del enrutador está escrita en C y se mantiene liviana, porque el hardware antiguo no puede funcionar más, por lo que se limita al escaneo masivo de DNS y al túnel de tráfico. La compilación del NAS está escrita en Go y hace mucho más. Escanea redes internas y externas y ejecuta herramientas de reconocimiento como fscan, ksubdomain y httpx. Una tarea «ScriptWork» ejecuta código fuente Go, Java o Python proporcionado por el atacante en la caja, por lo que el operador nunca tiene que compilar un binario por objetivo.

Cada nodo infectado, que XLab llama Ejecutor, se comunica con su C2 a través de HTTP/HTTPS, con el tráfico codificado en Protobuf ofuscado por un simple XOR (la compilación Go agrega gzip). El operador divide un escaneo grande en partes y los distribuye por toda la flota, dejando huella en paralelo.

XLab dice que el mismo escaneo de DNS puede dirigirse a los solucionadores para generar tráfico de denegación de servicio. La persistencia proviene de un servidor Dropbear SSH en un puerto fijo, 2332 en enrutadores o gs-netcat en NAS. La clave codificada, sh_#@!_2024_secret, lleva un «2024» que puede indicar un inicio en 2024, aunque XLab no puede confirmarlo.

donde encaja esto

La forma me resulta familiar. En mayo de 2025, el FBI y el Departamento de Justicia derribaron los servicios 5socks y Anyproxy, que habían convertido enrutadores Linksys y Cisco de años de antigüedad que ejecutaban el malware TheMoon en servidores proxy residenciales vendidos mensualmente. La versión de espionaje se parece mucho.

Mandiant ha seguido redes operativas de cajas de relésu ORB: mallas de enrutadores comprometidos al final de su vida útil e IoT que los actores estatales utilizan para escanear y transmitir sin ser difíciles de rastrear. Los ORB de enrutadores recientes, como los dispositivos de granja LapDogs, superan errores de n días como lo hace AryStinger.

AryStinger aún no está vinculado a nadie y XLab dice que todavía está trabajando para determinar quién está detrás de esto. Lo que está claro es el modelo: hardware olvidado, CVE antiguos, convertidos en infraestructura silenciosa para los movimientos iniciales de una intrusión.

que hacer

Si utiliza alguno de los equipos afectados, las comprobaciones son sencillas. Busque conexiones salientes al C2 de AryStinger y descargue los dominios (ajb8.com y hosts relacionados en Lista del COI de XLab), verifique /tmp/bin si hay archivos binarios que no colocó allí y busque procesos llamados syswapd0h o syswapd0w.

La solución duradera es la que todo el mundo sigue repitiendo: retirar los enrutadores al final de su vida útil que ya no reciben firmware y desactivar la administración remota de todo lo expuesto. Una caja que dejó de recibir parches en 2016 no va a empezar ahora.