اكتشف باحثون أمنيون شبكة روبوتات خبيثة جديدة تدعى AryStinger، نجحت في اختراق آلاف أجهزة التوجيه (Routers) القديمة، ولا سيما طرازات D-Link. تعمل هذه الشبكة على تحويل الأجهزة المصابة إلى بنية تحتية موزعة تُستغل في عمليات المسح الشبكي، وتمرير حركة البيانات، وتنفيذ الأوامر عن بُعد، وهي أنشطة تندرج ضمن مراحل الاستطلاع الأولية التي تمهد للهجمات السيبرانية الموسعة.
ووفقاً لتحليلات فريق XLab التابع لشركة QiAnXin، فقد تجاوز عدد الأجهزة المخترقة حاجز 4 آلاف جهاز. وتوضح بيانات الفريق أن ما لا يقل عن 4,300 جهاز مصاب ينتمي إلى فئة أجهزة RTL819X. ويتوزع هذا الانتشار جغرافياً بكثافة في كوريا الجنوبية بنسبة تصل إلى 48.5%، تليها الصين بنسبة 31.8%، في حين تتوزع بقية الإصابات بنسب أقل في السويد وماليزيا وسنغافورة.
وتستهدف برمجية AryStinger الأجهزة القديمة التي توقف دعمها الفني أو انقطعت عنها التحديثات الأمنية الدورية، ومن أبرزها طرازات D-Link DIR-850L وD-Link DIR-818LW. وتعتمد البرمجية في اختراقها على استغلال ثغرات أمنية قديمة مثل CVE-2013-3307 وCVE-2016-5681، بالإضافة إلى الثغرة رقم CVE-2025-11837 عبر نسخة مخصصة تستهدف أجهزة التخزين الشبكي.
ويصنف باحثو XLab كل جهاز مخترق كمنفذ للأوامر داخل هذه الشبكة، حيث يستطيع المهاجمون تقسيم عمليات المسح الواسعة إلى مهام أصغر وتوزيعها بالتوازي على الأجهزة المصابة. وتتيح هذه الآلية تنفيذ عمليات استطلاع أولية دقيقة تشمل فحص المنافذ، وتحديد الخدمات النشطة، والبحث في النطاقات الفرعية، فضلاً عن توجيه حركة البيانات عبر تلك الأجهزة لإخفاء الهوية الحقيقية لمصدر الهجوم.
وتتجاوز خطورة AryStinger مجرد استخدام أجهزة التوجيه كمنصات انطلاق؛ إذ أظهر التحليل الفني قدرة البرمجية على تعديل إعدادات خوادم أسماء النطاقات (DNS)، ومراقبة تدفق البيانات الواردة والصادرة، والاعتماد على قنوات تحكم عن بُعد، مثل Dropbear أو gs-netcat، لضمان البقاء والاستمرارية داخل الأنظمة الضحية. وقد رصد الباحثون نسختين رئيسيتين للبرمجية: الأولى مكتوبة بلغة C وتستهدف أجهزة التوجيه القديمة بإمكانات محدودة نسبياً، والثانية مكتوبة بلغة Go وتستهدف أجهزة التخزين الشبكي (NAS) وتمنح المهاجمين قدرات أوسع في الاستطلاع الداخلي وتنفيذ الأوامر.
وتوضح النتائج الفنية أن نسخة NAS هي الأكثر تطوراً، نظراً لدعمها تشغيل أوامر واجهة السطر البرمجي وتنفيذ برمجيات مكتوبة بلغات Go وJava وPython، بجانب دمجها أدوات مفتوحة المصدر مخصصة لاختبار الاختراق مثل fscan وksubdomain وhttpx. ورغم هذه القدرات، أشار الباحثون إلى أن الاعتماد على بيئات تشغيل هذه اللغات قد يتسبب في ترك آثار رقمية واضحة على الأنظمة، ترفع احتمالية رصد الأنشطة المشبوهة بواسطة أدوات الحماية والدفاع السيبراني.
ولم يربط الباحثون حتى الآن برمجية AryStinger بأي جهة تهديد معروفة، مؤكدين أن هناك جوانب عديدة للحملة ما زالت قيد البحث، مثل التحديد الدقيق لتاريخ انطلاقها وإمكانية وجود فئات أخرى من الأجهزة المستهدفة. كما لم يُرصد حتى الآن استغلال هذه البنية الموزعة في شن هجمات حجب الخدمة الموزعة القائمة على بروتوكول DNS، رغم أن البنية التقنية للبرمجية تسمح بذلك من الناحية النظرية.
وتوصي التقارير الأمنية مستخدمي أجهزة التوجيه التي انتهت فترة دعمها بضرورة استبدالها بطرازات حديثة تتلقى تحديثات مستمرة، مع الحرص على تثبيت أحدث البرمجيات الثابتة، وتغيير كلمات المرور الافتراضية للوحة التحكم، وتعطيل ميزات الإدارة عن بُعد غير الضرورية. كما تُنصح فرق الاستجابة للمخاطر بمراجعة سجلات الاتصال لمطابقتها مع مؤشرات الاختراق (IoCs) المنشورة، وفحص الأنظمة للتحقق من عدم وجود ملفات أو عمليات مشبوهة داخل المسارات المؤقتة مثل /tmp/bin في الأجهزة التي تتيح ذلك.
