Un malware jusqu’alors inconnu, baptisé AryStinger, sévit depuis plusieurs mois en transformant des milliers de routeurs anciens en outils de surveillance passive. Selon Numerama, ce botnet exploite des failles logicielles datant de plus d’une décennie pour infiltrer discrètement des réseaux, sans que leurs propriétaires ne s’en rendent compte. Sa particularité ? Il ne s’agit pas d’un réseau d’attaques classiques, mais d’une infrastructure dédiée à la reconnaissance préalable en vue d’intrusions futures.

Ce qu'il faut retenir

  • Un botnet discret : AryStinger infecte des routeurs et NAS pour cartographier des réseaux en amont d’attaques ciblées.
  • Deux variantes techniques : l’une en C ciblant des routeurs D-Link et Linksys, l’autre en Go visant les périphériques NAS.
  • 4 300 appareils compromis : la Corée du Sud concentre près de la moitié des victimes, suivie par la Chine et la Suède.
  • Des vulnérabilités exploitées : CVE-2013-3307, CVE-2016-5681 et CVE-2025-11837, dont certaines datent de 2013.
  • Une activité depuis 2024 : la clé de chiffrement du malware contient l’année « 2024 », suggérant une campagne en cours depuis au moins deux ans.

Contrairement aux botnets traditionnels, conçus pour mener des attaques par déni de service (DDoS) ou miner de la cryptomonnaie, AryStinger opère dans l’ombre. Chaque appareil infecté, appelé « executor », reçoit des tâches fractionnées depuis un serveur de commande : balayage de ports, identification de services ou énumération de sous-domaines. Ces opérations sont exécutées en parallèle par plusieurs nœuds, offrant aux attaquants une cartographie réseau distribuée, difficile à tracer. « L’objectif n’est pas de perturber, mais de préparer des intrusions futures en identifiant les cibles potentielles », explique un chercheur de XLab, laboratoire de cybersécurité chinois Qianxin, cité par Numerama.

Des vulnérabilités exploitées depuis plus de dix ans

Les chercheurs de XLab ont identifié deux variantes d’AryStinger, chacune ciblant des équipements spécifiques. La première, écrite en langage C, s’attaque à des routeurs anciens de marques D-Link et Linksys en exploitant les failles CVE-2013-3307 et CVE-2016-5681. Ces vulnérabilités, publiées il y a respectivement treize et dix ans, concernent notamment les modèles DIR-850L et DIR-818LW. Trois ans plus tôt, en 2023, le botnet AVrecon avait déjà infecté plus de 70 000 routeurs Linux, dont certains de ces mêmes modèles. Malgré le démantèlement d’AVrecon, ces équipements restent vulnérables, faute de mises à jour logicielles.

La seconde variante, plus récente et développée en Go, vise les périphériques de stockage en réseau (NAS) via la faille CVE-2025-11837. Plus sophistiquée, elle intègre des outils open source de pénétration et permet d’exécuter du code à distance. Dans les deux cas, une porte dérobée est installée sur l’appareil compromis, garantissant un accès persistant aux attaquants. « Ces routeurs, souvent oubliés et non mis à jour, deviennent des chevaux de Troie idéaux », souligne un expert en cybersécurité interrogé par Numerama.

Une campagne active depuis au moins deux ans

Parmi les éléments les plus inquiétants figure la clé de chiffrement « sh_#@!_2024_secret », intégrée en dur dans le code d’AryStinger. L’année mentionnée suggère que les opérateurs du botnet seraient actifs depuis 2024, bien avant sa détection initiale en mars 2026. Selon la télémétrie de Qianxin, plus de 4 300 appareils sont déjà infectés, avec une répartition géographique marquée : la Corée du Sud concentre à elle seule près de 50 % des victimes, suivie par la Chine (20 %), la Suède (15 %), la Malaisie (10 %) et Singapour (5 %). Le modèle DIR-850L représente à lui seul 75 % des appareils touchés.

Le taux de détection d’AryStinger reste par ailleurs extrêmement faible dans les moteurs antivirus classiques. « Les solutions de sécurité grand public peinent à identifier ce type de malware, car il agit de manière furtive et ne génère pas de trafic suspect en temps normal », précise un rapport de XLab. Les chercheurs notent également que les opérateurs du botnet semblent privilégier la discrétion, évitant toute activité bruyante qui pourrait révéler leur présence.

Des défis persistants pour les experts en cybersécurité

La reconstitution rapide des botnets après leur démantèlement est un défi récurrent pour les autorités et les entreprises de cybersécurité. En 2023, le réseau AVrecon avait été neutralisé par Lumen, mais ses victimes, notamment des routeurs D-Link, sont de nouveau ciblées trois ans plus tard. « On observe une tendance inquiétante : les attaquants exploitent les mêmes failles pendant des années, profitant de l’inaction des utilisateurs », commente un analyste de Qianxin. Les fabricants de matériel réseau, souvent réticents à fournir des mises à jour pour des modèles anciens, aggravent cette situation.

Pour l’heure, aucune attribution claire n’a été établie. XLab a appelé la communauté internationale à partager des informations sur AryStinger et recommande sans ambiguïté de remplacer tout routeur dont le firmware n’a pas été mis à jour depuis plusieurs années. « Un appareil oublié dans un coin peut très bien travailler pour un attaquant sans que son propriétaire ne s’en aperçoive », rappelle le laboratoire chinois. Les experts insistent sur l’importance de la vigilance, notamment pour les particuliers et les petites entreprises, souvent moins protégées que les grandes infrastructures.

Et maintenant ?

Les prochaines semaines pourraient révéler l’étendue réelle des activités d’AryStinger. Les chercheurs de XLab devraient publier des mises à jour régulières sur l’évolution du botnet, tandis que les éditeurs de solutions antivirus devraient intégrer des détections spécifiques pour ce malware. Une conférence internationale sur la cybersécurité, prévue en septembre 2026 à Séoul, abordera notamment les risques liés aux botnets persistants. En attendant, les utilisateurs sont invités à vérifier l’état de leurs équipements réseau et à appliquer les correctifs disponibles.

Cette affaire rappelle également l’importance de la cybersécurité proactive. Les routeurs et NAS, souvent négligés, constituent des cibles de choix pour les cybercriminels. Face à la multiplication des botnets sophistiqués, les bonnes pratiques — mises à jour régulières, segmentation des réseaux, surveillance des connexions suspectes — deviennent plus cruciales que jamais.

Les signes peuvent inclure des ralentissements inexpliqués, une activité réseau anormale ou des connexions inconnues. XLab recommande de vérifier les mises à jour du firmware et d’utiliser des outils de détection spécialisés. En cas de doute, un redémarrage du routeur peut parfois rétablir son fonctionnement normal.

La solution la plus sûre consiste à remplacer l’appareil par un modèle récent, doté de mises à jour logicielles régulières. Si le remplacement n’est pas possible, une réinitialisation d’usine peut éliminer le malware, mais elle n’empêchera pas une réinfection si la faille persiste.