أعلنت شركة الأمن السيبراني QiAnXin XLab عن اكتشاف عائلة جديدة من البرمجيات الخبيثة تحمل اسم AryStinger، تستهدف أجهزة التوجيه المنزلية القديمة وتحولها إلى شبكة موزعة لأغراض الاستطلاع والتمويه، بدلاً من استخدامها في هجمات حجب الخدمة كما هو شائع. حتى الآن، تم رصد إصابة ما لا يقل عن 4300 جهاز توجيه، والعدد في تزايد مستمر.
طبيعة الهجوم وأهدافه
تعمل برمجية AryStinger على تحويل الأجهزة المصابة إلى عقد تقوم بمهام البصمة الرقمية للشبكات، مثل مسح الإنترنت، تحديد الخدمات، تعداد النطاقات الفرعية، وتمرير حركة المرور بشكل يخفي مصدر المهاجم الحقيقي. هذه المرحلة تُعد جزءًا من التحضير للهجوم قبل الاختراق الفعلي، حيث يتم جمع المعلومات اللازمة لشن هجمات لاحقة أكثر دقة.
استغلال ثغرات قديمة في الأجهزة
الحملة تستهدف أجهزة التوجيه المبنية على شرائح Realtek RTL819X التي كانت شائعة بين عامي 2012 و2015. وقد رُصدت أولى الإصابات في مارس 2026 عبر عنوان IP واحد. البرمجية تستغل ثغرتين قديمتين هما CVE-2013-3307 في أجهزة Linksys وCVE-2016-5681 في أجهزة D-Link. وتشير البيانات إلى أن الطراز DIR-850L من D-Link يمثل نحو 75% من الأجهزة المصابة، مع انتشار جغرافي يتركز في كوريا الجنوبية (48%) والصين (32%)، إضافة إلى السويد وماليزيا وسنغافورة.
توسع الهجمات نحو أجهزة التخزين
في أبريل 2026 ظهر سلالة ثانية من AryStinger تستهدف أجهزة QNAP NAS عبر ثغرة CVE-2025-11837 في أداة إزالة البرمجيات الخبيثة الخاصة بالشركة. هذه الثغرة كانت قد كُشفت في مسابقة Pwn2Own أيرلندا 2025 وتم إصلاحها في نوفمبر من نفس العام، إلا أن المهاجمين استغلوا النسخ غير المحدثة لاحقًا.
بنيتين مختلفتين للبرمجية
- نسخة الراوترات مكتوبة بلغة C وخفيفة الحجم لتناسب الأجهزة القديمة، وتقتصر على مهام مثل مسح DNS الجماعي وتمرير حركة المرور.
- نسخة أجهزة NAS مكتوبة بلغة Go وتتمتع بقدرات أوسع، مثل مسح الشبكات الداخلية والخارجية وتشغيل أدوات استطلاع متقدمة مثل fscan وksubdomain وhttpx، إضافة إلى ميزة “ScriptWork” التي تسمح بتنفيذ شيفرات Go أو Java أو Python مباشرة على الجهاز المصاب.
كل عقدة مصابة، والتي تسميها XLab “Executor”، تتواصل مع خوادم التحكم عبر بروتوكولات HTTP/HTTPS باستخدام بيانات مشفرة بطريقة XOR أو gzip، ما يتيح توزيع المهام على نطاق واسع وتنفيذ عمليات الاستطلاع بشكل متوازي.
خلفيات وسياق أوسع
النموذج الذي تتبعه AryStinger ليس جديدًا؛ ففي مايو 2025 قامت السلطات الأمريكية بتفكيك خدمات 5socks وAnyproxy التي اعتمدت على أجهزة توجيه قديمة مصابة ببرمجية TheMoon لتقديم خدمات بروكسي مدفوعة. كما رصدت شركة Mandiant شبكات مشابهة تُعرف باسم ORBs، وهي شبكات من أجهزة متهالكة تُستخدم من قبل جهات مدعومة من دول لأغراض التجسس والتمويه.
توصيات للحماية
ينصح الخبراء المستخدمين الذين يمتلكون أجهزة قديمة بالتالي:
- التأكد من الاتصالات الصادرة نحو خوادم التحكم الخاصة بالبرمجية.
- فحص مجلد /tmp/bin بحثًا عن ملفات غير مألوفة.
- مراقبة العمليات مثل syswapd0h أو syswapd0w.
- إيقاف استخدام أجهزة التوجيه القديمة التي لم تعد تحصل على تحديثات أمنية، وإلغاء خاصية الإدارة عن بُعد.





























