Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
un'ambientazione tecnologica e futuristica, caratterizzata da una complessa rete di computer disposti in modo concentrico attorno a un fulcro centrale. La scena è dominata da toni freddi, prevalentemente grigi, neri e sfumature di azzurro neon, che conferiscono all'ambiente un'atmosfera da centro di controllo o da sala server avanzata. Al centro esatto della composizione si trova un imponente case di computer o server verticale, di forma rettangolare e di colore scuro, che funge da nucleo dell'intero sistema. Il pannello frontale di questa unità centrale mostra linee di testo e dati luminosi, che richiamano l'interfaccia di un terminale di programmazione. Da questo server centrale si dipana una fitta matassa di cavi neri che si collegano radialmente verso l'esterno, evocando l'idea di un sistema nervoso digitale o di una rete neurale artificiale. La superficie su cui poggiano gli elementi è di un bianco opaco, incisa con cerchi concentrici e linee geometriche sottili che accentuano la struttura simmetrica e circolare dell'installazione. Attorno al server centrale sono disposti decine di computer portatili, posizionati in cerchi progressivamente più ampi. Molti di questi laptop sono aperti e i loro schermi mostrano grafici complessi, flussi di dati astratti, linee di codice e interfacce digitali illuminate di un azzurro brillante. Alcuni portatili sono rivolti verso l'interno, altri verso l'esterno o di profilo, creando un senso di densità e di elaborazione dati massiva. Tra i computer si notano anche altri componenti hardware minori, come alimentatori, hub di connessione e piccoli schermi secondari, tutti collegati alla stessa intricata rete di cavi. Sullo sfondo, la stanza si sviluppa verso l'alto con pareti scure e leggermente curve che racchiudono la scena. Dalla parte superiore dell'inquadratura pendono elementi verticali luminosi ed effetti di luce che ricordano stringhe di codice binario o gocce digitali che cadono, simili all'effetto visivo di un flusso di dati in stile "Matrix". Dei faretti direzionali posizionati in alto proiettano fasci di luce soffusa verso il basso, illuminando la parte centrale della struttura e creando un forte contrasto con l'oscurità circostante, enfatizzando la sacralità tecnologica del server centrale.

Scoperta botnet AryStinger: vecchi bug per router obsoleti soprattutto in Asia

23 Giugno 2026 12:41
In sintesi

La botent AryStinger sfrutta vulnerabilità note per infettare router D-Link obsoleti, utilizzandoli come proxy per scansioni e tunneling. Può anche modificare le impostazioni DNS e monitorare il traffico di rete degli utenti. Esistono due versioni del malware: una in C per router e una in Go per NAS, quest'ultima con capacità più ampie.

I ricercatori di Qianxin XLab hanno trovato una nuova botnet, chiamata AryStinger. Questa ha già infettato oltre 4000 vecchi router in tutto il mondo. Il malware trasforma questi dispositivi infetti in proxy. Vengono usati per eseguire scansioni e tunneling del traffico e altre attività illegali.

Gli esperti dicono che i dispositivi infetti agiscono come “esecutori remoti”. Ciò permette agli operatori della botnet di prendere compiti complessi e dividerli in parti più piccole. Queste parti vengono poi distribuite tra molti router infetti per essere elaborati in parallelo.

Questa architettura consente agli attaccanti di svolgere efficaci ricognizioni e aumentare le loro possibilità di successo. Tuttavia, AryStinger non si limita solo a cercare nuovi obiettivi e a dirottare il traffico dannoso. Il malware può anche cambiare le impostazioni DNS, dirottare il traffico del browser degli utenti e monitorare silenziosamente tutto il traffico di rete, potenzialmente rubandolo.

Advertising

Per infettare i dispositivi, AryStinger sfrutta vecchie debolezze come CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837. I principali obiettivi di AryStinger sono i router D-Link DIR-850L e DIR-818LW, che non ricevono aggiornamenti da molto tempo. Questi stessi modelli erano stati precedentemente attaccati dal botnet AVrecon, che è stato fermato nel 2023 dalla società Lumen.

Secondo Qianxin XLab, quasi la metà dei dispositivi infetti si trova in Corea del Sud (48,5%), seguita dalla Cina con il 31,8%, dalla Svezia con il 6,4%, dalla Malaysia con il 3,5% e da Singapore con il 2,5%. I ricercatori hanno identificato due versioni di AryStinger: una scritta in C che attacca principalmente router obsoleti, e un’altra scritta in Go mirata ai NAS.

Sebbene la versione per NAS sia meno diffusa, gli esperti avvertono che ha capacità più ampie.

Questa variante può eseguire scansioni IP e DNS, lanciare comandi e payload aggiuntivi, e condurre ricognizioni nelle reti locali utilizzando strumenti open-source per il pentesting. Inoltre, supporta l’injezione di comandi shell e può eseguire codice sorgente in Go, Java e Python, purché i runtime appropriati siano presenti nel sistema infetto.

Questa attività rende la malware più visibile per le soluzioni di sicurezza. Il rapporto sottolinea anche che l’infrastruttura distribuita di AryStinger potrebbe teoricamente essere utilizzata per generare un enorme numero di richieste DNS ai resolver, ma finora non sono state rilevate attacchi di questo tipo.

Advertising

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response